Kris Hagerman: “El internet de las cosas disparará el mercado del cibercrimen”
Asegura que la nueva regulación de protección de datos europea obliga a las empresas a revisar todo su entorno de seguridad Alerta de una creciente industria de cibercrimen como servicio
Sophos es una de las grandes empresas de ciberseguridad. Con sede en Silicon Valley, la compañía opera en 150 países protegiendo las redes de 100 millones de usuarios y 220.000 empresas, entre las que se encuentran organizaciones españolas como Inditex, Acciona, Grupo Barceló o Banco de España. Su consejero delegado desde 2012, Kris Hagerman, antes en Symantec, Veritas y McKinsey & Company entre otras empresas, repasa en esta entrevista cómo está el mercado de la ciberseguridad, las nuevas amenazas que trae el internet de las cosas y las oportunidades que abre la inteligencia artificial. También habla de cómo impactará el nuevo Reglamento General de Protección de Datos de la UE, que entrará en vigor en 2018 con multas para aquellas las empresas que pierdan datos confidenciales de sus clientes y empleados.
- R. ¿Qué está ocurriendo para que empresas de la talla de Equifax o Deloitte hayan sufrido sendos ciberataques gravísimos?
- R. La ciberseguridad es uno de los mayores retos a los que se enfrenta el mercado. En nuestros laboratorios analizamos unas 400.000 muestras de malwares distintos cada día, lo cual da dimensión de lo que está sucediendo. Hay una gran cantidad de amenazas diarias y es evidente que si no se gestiona bien, un ciberataque puede afectar incluso a la continuidad de los negocios. En Equifax, por ejemplo, la brecha de seguridad le costó el puesto a su CEO. Las encuestas nos muestran que la ciberseguridad se ha convertido en la primera preocupación de los directivos de las empresas y hoy esta industria mueve unos 40.000 millones de dólares al año, con un crecimiento de entre un 6% y un 8% anual; es uno de los segmentos que más crece dentro del sector tecnológico.
- R. Pese a la inversión en seguridad, parece que el cibercrimen va ganando la carrera.
- R. No creo que sea así. Sin embargo, el incremento del ancho de banda, del número de dispositivos móviles conectados, la apuesta por la transformación digital está haciendo que los cibercriminales tengan acceso a todas esas autopistas de información y que encuentren la manera de atacar a las organizaciones. Es evidente que con el internet de las cosas el mercado del cibercrimen va a ser aún mayor, porque va a haber millones de dispositivos conectados (ya hay por ejemplo sistemas que permiten regar las plantas desde el móvil), y la mayoría de ellos no tienen ningún mecanismo de seguridad. Esta es la mala noticia, los riesgos que vienen, y la buena, que compañías como la nuestra buscan constantemente tecnologías que nos permitan ir por delante de los cibercriminales.
- R. ¿Qué papel va a jugar la inteligencia artificial? ¿Ayudará a las empresas de ciberseguridad a encontrar mejores soluciones?
- R. Sophos adquirió hace poco una compañía llamada Invincea, que dispone de una solución líder en el concepto de deep learning [aprendizaje profundo], que utiliza redes neuronales, parecidas a lo que es el cerebro humano. Nosotros analizamos millones de muestras de malware y alimentamos nuestro motor de deep learning para que sea capaz de diferenciar los programas buenos de los maliciosos, y eso nos permite responder de forma eficiente y muy rápido a ataques más complejos. La nueva versión de nuestro producto estrella, un anti ransomware (como wannacry o Petya) llamado Intercept X, ya disponible para early adopter, complementará la versión anterior ya instalada en 20.000 clientes en todo el mundo. En Intercept X V2, la potencia del machine learning y el deep learning es evidente. Es capaz de anticiparse ante malwares nunca vistos antes analizando patrones de funcionamiento y todos esos millones de muestras previamente.
"De media, la mayoría de las organizaciones no saben que han sufrido una brecha de seguridad hasta un plazo de entre 90 y 100 días"
- R. Antes decía que muchos dispositivos del internet de las cosas se venden sin contener medidas de ciberseguridad. ¿No es una negligencia? ¿No debería haber normas que exijan tener este aspecto en cuenta?
- R. Es una buena pregunta, pero desgraciadamente va a ser un problema muy difícil de atajar. Es como internet, algo mucho más evolucionado, donde hay millones de websites y de servicios que no son seguros, y sin embargo, hoy en día no se puede regular. Ni siquiera se puede cerrar un sitio que no es seguro, al menos de forma inmediata. En el internet de las cosas va a ser muy difícil llegar a esa regulación, a ese control. Y hay problemas mayores: no existe una aproximación internacional al cibercrimen, y eso hace que si un ciberdelincuente comete un ciberdelito desde un país en otro no hay una regulación que permita detenerle, llevarle al país donde ha delinquido, extraditarle y juzgarle ahí.
- R. La UE ha aprobado el Reglamento General de Protección de Datos (GDPR) que entrará en vigor en 2018 y que supondrá multas para las empresas que pierdan datos de sus clientes y empleados. ¿Cómo lo valora?
- R. Es un desarrollo importante, que clarifica que si las organizaciones exponen sus datos son responsables de esa exposición. Ello tendrá un gran impacto en la manera que las organizaciones tratan la información, pero va a llevar tiempo hasta que todas se pongan al corriente en las medidas de protección. El GDPR implica que todas las compañías tienen que revisar toda su organización, no solo unas cuantas bases de datos. Deberán revisar la manera en la que trabajan y operan; analizar todo su entorno de seguridad, porque al final hay multitud de potenciales sitios por los que poder acceder a la información, y esta es la que debe estar protegida. Además, piense que aunque es una regulación europea, va a afectar a todas las compañías, a las de fuera cuando operen en Europa y a las europeas cuando operen tanto dentro como fuera de esta región. Por ello, creo que en otros países se acabará implementando este tipo de regulación, aunque ahora mismo no la tengan. Además, cuando los individuos se acostumbren a los niveles de protección que les va a dar la nueva regulación van a exigir ese nivel de protección fuera de los países de la UE.
- R. ¿Y qué puede aportar Sophos?
- R. Estamos convencidos de que nuestra solución, que cubre desde los puestos de trabajo hasta la red, permitiendo el diálogo continuo entre los diferentes componentes de seguridad, y todo gestionado de una manera muy fácil desde una única consola, va a facilitar a muchas empresas –con independencia de su tamaño– todo ese proceso de revisión de su entorno de seguridad para cumplir con esta regulación. Piense que una gran empresa como JP Morgan tiene más de 1.000 personas dedicadas a seguridad y un presupuesto de más de 700 millones para gestionarla, pero las firmas de menos de 1.000 trabajadores, igual tienen 10 o 20 personas en sus departamentos de tecnología y como mucho a una persona en seguridad. Ahí es donde Sophos juega un papel importante, poniendo a disposición de este tipo de empresas una solución robusta que cubre todo el ámbito de la seguridad y que es muy fácil de implementar y gestionar. La prueba del éxito de nuestra estrategia es que crecemos tres veces por encima de la media del mercado. Llevamos 3 años creciendo a ritmos del 20%. La compañía salió a bolsa hace dos años y el consenso de los analistas para este año es que haremos unos 750 millones de dólares. Hemos presentado un plan estratégico a tres años en el cual hemos anunciado que en ese plazo alcanzaremos la cifra de 1.000 millones de dólares.
"Nuestro nuevo producto Intercept X V2 permitirá gracias a la inteligencia artificial anticiparse ante ‘malwares’ nunca vistos”
- R. ¿Pero los casos de ciberataques de Equifax, de Deloitte, de Sony, no hacen ser pesimista? Muchas empresas pueden pensar que si las grandes y con muchos recursos son también vulnerables para qué invertir en ciberseguridad.
- R. En Sophos tenemos claro que los ciberataques es algo que se puede prevenir, evitar, pero eso implica toda una serie de actitudes y acciones por parte de las empresas. Desde luego, deben poner foco en la ciberseguridad y educar a sus empleados. La educación es tremendamente importante en este tema. Después, lógicamente, hay que poner las soluciones y herramientas adecuadas. Ni uno solo de nuestros clientes de Intercept X se ha visto afectado por ningún tipo de Ransomware.
- R. Da la impresión que los ciberataques son cada vez más dirigidos. ¿Es así?
- R. Existen ataques muy sofisticados y caros de implementar, que normalmente ponen en marcha Estados (se ha hablado mucho de Corea del Norte y Rusia) y que suelen usarse para uno o dos ataques muy dirigidos. Pero, después, esas herramientas se hacen públicas en la red para el conjunto de cibercriminales. Ya hay una gran industria de cibercrimen como servicio que convierte esas herramientas en una comodity. Así, cualquiera puede cogerlas y utilizarlas para hacer ataques masivos, y a un coste muy bajo. Una prueba de ello puede haber sido Wannacry. Y si tienen problemas, los proveedores de esas herramientas les ayudan a través de helpdesks. Hasta te asesoran para que la herramienta sea más efectiva.
- R. Me sorprende que muchos ciberataques sigan saliendo a la luz cuando ya ha pasado mucho tiempo desde que tuvieron lugar. ¿Las empresas lo ocultan o no son conscientes de ello?
- R. Las dos cosas ocurren. En algunos casos se ocultan y, en otros, no se sabe hasta mucho tiempo después. En el caso de Sony, los atacantes estuvieron dentro de sus sistemas entre seis y nueve meses antes de que la propia empresa supiera que estaban en sus sistemas. Ahora, la regulación europea de datos y la de algunos otros países están empezando a obligar a comunicar estos hechos en un espacio de tiempo cada vez más corto y si no las multas serán mayores. De media, la mayoría de las organizaciones no saben que han sufrido una brecha de seguridad hasta un plazo de entre 90 y 100 días. Es un periodo de tiempo bastante elevado; imagínese la cantidad de cosas que pueden pasar entre tanto.