Entrevistas

David Francis (Huawei): “La ciberseguridad al 100% no existe”

david francis huawei
Escrito por Ana Muñoz

Entrevistamos a David Francis, director de Ciberseguridad de Huawei para Europa Occidental, sobre los riesgos a los que se enfrentan los usuarios y las empresas hoy en día en Internet. ¿Quieres saber qué nos ha contado?

Cada día se descubren 327 nuevos tipos de malware, un dato preocupante para todos los que navegamos por la Red diariamente. A pesar de ello, muchos usuarios no son conscientes de lo peligroso que puede ser hacer click en un enlace fraudulento o ceder sus datos a una determinada compañía.

Para intentar paliar esta situación, Huawei ha estado presente en la Jornada Internacional de Seguridad de la Información- ISMS Forum Spain, a través de la ponencia de David Francis, Director de Ciberseguridad de la compañía para Europa Occidental.

Durante la mesa redonda en la que ha participado, el directivo ha señalado que la colaboración es un factor clave para compartir información y promover la concienciación de los usuarios. Además, ha destacado la necesidad de convertir los datos sobre amenazas a la seguridad en información e incorporar ésta a las organizaciones.

Por eso, en su apuesta por garantizar de un modo abierto y transparente la ciberseguridad y afrontar de manera conjunta este reto global, Huawei España firmó un acuerdo de colaboración con el Instituto Nacional de Ciberseguridad (INCIBE) el pasado febrero, en virtud del cual se comprometen a impulsar la ciberseguridad en España.

Pero, ¿Qué retos de ciberseguridad deben afrontar las empresas y los usuarios? ¿Cuáles son las principales amenazas que nos rodean en Internet? ¿El IoT influirá en nuestra forma de actuar en materia de seguridad? De todo ello, y mucho más, nos habla David Francis, director de Ciberseguridad de Huawei para Europa Occidental.

  • Vivimos en un mundo en el que la ciberdelincuencia está a la orden del día. De hecho, cada 24 horas se descubren 327 nuevos tipos de malware. ¿Cómo pueden los usuarios y las empresas protegerse de los ciberataques?

Lo primero que hay que dejar claro es que el malware no va a disminuir, sólo va a ir en una dirección: en aumento, tanto en términos de volumen como en peligro. La percepción que tiene la gente de los cibercriminales es que son una especie de “marginados” que están recluidos en una habitación que tienen en casa de sus padres, pero no es así.

En realidad, son personas muy organizadas y productivas. De hecho, la mayoría pertenecen a algún tipo de organización criminal, ya que es un negocio muy rentable. Por eso, el malware no va a mermar, ya que siempre van a encontrar nuevas formas de atentar contra sus víctimas. 

En este sentido existen distintos tipos de malware pero, la gran mayoría, han estado ahí desde hace años. Lo único que hacen es evolucionar y adaptarse a las tendencias. Lo que sí va a ocurrir en un futuro próximo, y de hecho ya lo estamos viendo, es que los ataques serán más personalizados y estarán enfocados a un determinado tipo de público. Esta industria del malware genera una gran cantidad de beneficios, y los “chicos malos” no van a dejar que desaparezca. 

Respecto a la pregunta de, ¿Cómo podemos protegernos? Lo primero que tenemos que hacer es contar con una mejora desde la base: la educación de la seguridad. He repetido esto en muchas conferencias, y lo he escuchado en muchas otras. 

Hay un dicho en inglés: “Can’t see the wood for the trees” (Los árboles no dejan ver el bosque, en español), que quiere decir que necesitas ser consciente del verdadero problema, porque te estás centrando en uno secundario. 

Para hacer eso en materia de seguridad necesitas tener unos fundamentos, unos principios o unas normas que seguir, y la gente no los está siguiendo. Y eso es porque los empleados de las compañías aún piensan que la seguridad online en tiempo laboral es responsabilidad de la empresa, y la empresa cree que es responsabilidad de los departamentos de informática. Ambos creen que es una cuestión “técnica”, pero no es así. Están equivocados, es una decisión empresarial. 

Si el “gran jefe” (CEO) de una compañía no cree que este tema sea algo importante, nadie se lo va a tomar en serio. ¿Cuántos programas de seguridad online tienen las empresas o los gobiernos? ¿Cuántas personas trabajan en ellos? Hablamos de cualquier tipo de organización: pública, privada, ONG, pyme…por lo general sólo cuentan con un par de personas al cargo en este tipo de temas, y eso es un problema. Como son pocos, implementan pequeñas cosas no muy elaboradas, ya que no tienen tiempo para todo. 

Por ejemplo, uno de los grandes problemas de hoy en día es que nadie se preocupa en hacer backups, una cosa que debería ser prioritaria. Cuando hablo de “problemas de base” me refiero a este tipo de cosas. Si tu información ha sido robada o hackeada y tuvieras tus archivos en un disco duro o en una copia en la nube, no tendrías problemas para recuperarlos. 

Hoy en día existen miles de virus que pueden infectar tu ordenador, incluso herramientas muy elaboradas, como el ransomware, un tipo de malware que está creciendo a pasos agigantados. Si tuvieras un backup de estos documentos, seria algo muy simple de solucionar. De hecho, 80% de los problemas de la gente se solucionarían si hicieran copias de seguridad. Eso lo primero.

Por otra parte, estoy seguro de que la mayoría de las compañías pueden decirte cuántas mesas o sillas tienen, pero si les preguntas cuánta información almacenan y cuánta de ella es confidencial o dónde está registrada, no saben qué responder.

Por lo tanto, otro punto fundamental es que no sólo deben saber cuántos ordenadores o máquinas tienen en sus oficinas, sino también cuánta información de los usuarios poseen, cuánta es de la empresa, qué datos son vulnerables y dónde está almacenada. Y es que es posible que haya algo en lo que necesites poner especial atención porque sea realmente valioso, es decir, añadir una capa de seguridad extra.

Hay un dicho que nosotros tenemos en nuestro negocio que es un poco cínico. Es lo que nosotros llamamos la “Habitación ABC”: no vi nada, no creo nada de lo que me diga nadie, compruebo todo. Esto quiere decir que, cuando vas a analizar un fallo de seguridad o algo similar, es muy importante entender que no puedo basarme sólo en lo que me digan los empleados, tengo que comprobar con mi propia experiencia qué es lo que ha pasado. Todo el mundo de una organización necesita saber que es responsable de la seguridad de la empresa. Por eso, cualquier trabajador debe recibir formación sobre ciberseguridad

En mi caso, hay una prueba que suelo hacer de vez en cuando. Meto a 30 empleados de la empresa en una sala (gente de Sistemas, Administración, Call Center, Tecnología, Marketi, etc). Después, digo lo siguiente: Soy David Francis, el CSO de Huawei, ¿Alguien puede decirme quién es el responsable de ciberseguridad de la compañía? A continuación, siempre hay alguien levanta la mano y dice: “Tú, porque tu eres el Cyber Security Officer”. Respuesta incorrecta…yo no soy el responsable de la ciberseguridad de la empresa, ellos lo son. Todos y cada uno de ellos son los primeros responsables de su seguridad. Mi trabajo es asegurarme de que ellos están haciendo su labor en la materia.

Si tienes esta mentalidad dentro de la empresa, todo irá bien. Por eso necesitas tres cosas cuando estás formando a tu equipo: la primera es “regañar”, que es justo lo que acabo de decir. Por ejemplo, lo que hago yo es hacer una reunión, explicarles en qué consiste la ciberseguridad y, después, les muestro cosas relacionadas con este tema que están haciendo mal. Lo malo es que, la mayoría, olvidan todo lo que les he dicho a los 10 minutos de salir de la sala. Aún así, este tipo de ejercicios son necesarios.

Otro punto importante es la preparación. Hay que “educar” a cada uno de los miembros de una empresa en materia de seguridad teniendo en cuenta el puesto que ocupan. Esa es la única forma que hay para que entiendan la importancia de la seguridad y el rol que desempeñan dentro de la empresa. Y es que si no lo comprenden, es un problema. 

Por ejemplo, si algún empleado abre un correo que tenga un mensaje llamativo, como por ejemplo “Tu empresa no ha pagado X”, “La compañía aún debe al banco X euros”, “Completa estos datos con información de tu corporación”…puede ser el principio de un desastre. Si no saben que están sufriendo un ataque phisisng, no hay nada que hacer. Por eso, deben de ser conscientes y estar formados en la materia. En este sentido, es importante comprobar que la persona que te envía el correo y la dirección del mismo es la legítima de tu contacto.

Si hay un link interno dentro del mensaje, debemos pensar. ¿Esta URL me genera desconfianza? Si tienes la más mínima duda, no hagas click. 

También hay otro problema, y es que la gente, en cuanto ve el prefijo “ciber” delante de una palabra piensa: “Esto no me interesa, no es mi responsabilidad”. Y no es así. Proteger a la empresa es tarea de todos.

Hay una línea muy fina que separa a los ciberdelincuentes de los usuarios. En este sentido, los hackers sólo necesitan tener suerte una vez, y eso no hay que olvidarlo. Si un empleado está despistado en ese momento, o no presta atención, puede hacer click en ese link y poner en riesgo a una multinacional.

  • Acaba de hablar de la importancia de la ciberseguridad en las empresas. Según varios estudios, la mayoría de los fallos de seguridad dentro de las compañías se deben a un error humano, ¿Cree que nos falta educación de seguridad?

Sí, y además esa educación debe estar enfocada y segmentada a distintos tipos de público. Por ejemplo, no es lo mismo dirigirse a un target técnico que a un CEO o a un usuario medio. Cuando yo explico cuestiones de seguridad a mi director general, quizás no necesite saber todos los aspectos técnicos, pero debe saber la importancia de tener una red de protección dentro de la compañía y los peligros que existen, y cómo pueden afectar estas decisiones a los ingresos y a la reputación de la corporación. 

Por eso, debe ser una conversación entre ambas partes. Si el receptor no entiende qué está diciendo el portavoz o cómo puede afectarle, no servirá para nada. Si yo cojo a mis empleados y les cuentos los peligros que hay en el mundo online pero no entienden de qué hablo, no servirá de nada porque lo van a olvidar. Por eso, la clave está en concienciarles. Hay que cerciorarse de que cada división y cada equipo de la compañía tiene la ciberseguridad como uno de los puntos clave de su agenda. Y no sirve decir “no lo sabía” o “es que no era consciente de esto”. 

Por ejemplo, en Huawei tenemos pases para entrar a la oficina. Detrás de ellos hay unas reglas que hablan claramente de los mecanismos de seguridad a seguir (si estás en España están escritos en español, en Londres en inglés, en Francia en francés, etc). Así que la excusa de “no lo sabía” no sirve. 

  • Huawei es una gran empresa, y seguro que sois objetivo de los hackers. ¿Temes sufrir algún ataque?

Todo el mundo es susceptible de ser atacado por los cibercriminales, por eso es importante la educación en ciberseguridad de los empleados. Como he dicho antes, también es fundamental concienciar a la gente de estos temas, independientemente de si son usuarios o empresas. 

En España, por ejemplo, tenemos una larga trayectoria de acuerdos con los principales organismos gubernamentales para concienciar a la población sobre ciberseguridad. El último de ellos lo hemos firmado con INCIBE el pasado febrero, y creemos que será muy útil para la población.

Y es que todas las compañías van a ser atacadas, independientemente de su tamaño. Digo esto porque hay un pensamiento generalizado y erróneo entre las pymes, ya que ellas creen que, como no son una gran multinacional, los cibercriminales no se va a fijar en ellas. Al contrario de lo que pueda pensar la gente, atacar a alguien es muy económico, no requiere una gran inversión. Todo el mundo tiene algo valioso para un cibercriminal, por lo que todos somos objetivos de los hackers. Además, hoy en día, los ciberdelincuentes lo tienen más fácil que nunca.

Hay que ser consciente de que no podemos protegernos al 100%, y por eso hay que focalizar cada tipo de mecanismo de seguridad. Lo primero que debes preguntarte es: ¿Soy una pyme? ¿Una ONG? ¿El gobierno español? ¿Un usuario? Y, en función de eso, activar un plan de seguridad u otro.

Todos y cada uno de ellos deben tener un plan de crisis de ciberseguridad para saber identificar cuándo y cómo están siendo atacados. Además, deben saber cómo actuar al respecto, cómo comunicarlo y a quién. Adicionalmente, hay que ensayarlo. No hay ninguna otra forma de gestionarlo correctamente: practicar, practicar, practicar. Y es que hay que saber qué hacer cuando una compañía está siendo atacada.

En Huawei somos conscientes de que vamos a ser atacados, pero estamos preparados porque ensayamos procesos de este tipo. 

Además, mi recomendación a la hora de realizar los ensayos es incluir a todas las partes implicadas por dos motivos: primero, porque tienen nuevas ideas y puedes aprender de ellos; segundo, porque nadie conoce una solución categórica y cualquier persona de la cadena de suministro puede dar con la clave. Así, cuando alguien tiene cualquier tipo de problema relacionado con la ciberseguridad de su sector, puedes manejarlo de forma distinta, incluso mejor, si escuchas sus ideas e iniciativas.

  • Huawei es una compañía especializada en redes, empresa y dispositivos. ¿Qué ofrece para proteger a los usuarios en cuanto a seguridad?

Nosotros tenemos una serie de documentos que creamos en 2013 sobre ciberseguridad. Son Whitepapers en los que explicamos, tanto a usuarios como a empresas, cómo actuar en casos de crisis. Ese mismo año editamos un documento en concreto sobre cómo implementamos nuestros sistemas de seguridad, así como nuestra estrategia a seguir si ocurre algún tipo de problema online. Son públicos, así que cualquiera puede consultarlos cuando lo desee.

La razón por la que lo hacemos es para compartir información, ya que consideramos que puede ser útil para la gente. 

En un ejercicio de transparencia, Huawei publicó otro Whitepaper en 2014 con los 100 requisitos indispensables en materia de ciberseguridad que deben de seguir los proveedores de tecnología. En él hay muchas ideas de implementación y de gestión, así como consejos sobre lo que no tienen que hacer. 

Otro punto importante que intentamos fomentar está relacionado con la cadena de suministro. Todos tienen un problema de seguridad en algún momento, por lo que hay que hablar con todos y cada uno de los participantes de tu empresa. Y es que vivimos en un mundo conectado, y el fallo de seguridad puede estar en cualquier punto de la cadena de suministro.

  • Con la llegada del Internet de las Cosas y el Big Data, ¿Deberíamos estar más preocupados por nuestros datos? ¿Tendremos que protegernos más?

Esto es un punto muy interesante. Una de las cosas más importantes de la actualidad es la seguridad de nuestros datos. Te pondré un ejemplo: yo vivo en Londres, pero ahora estoy en Madrid. Si apunto en mi agenda virtual que voy a pasar unos días aquí y no preocupo, alguien puede hackearlos. 

Aunque esto pueda parecer irrelevante, en realidad se trata de información personal, y por eso hay que cuidarla. Y te preguntarás, ¿Pero quién va a querer saber dónde estoy en cada momento? Por ejemplo, alguien que quiera entrar a robar en mi casa, entre otros. 

Los datos personales online se van a multiplicar exponencialmente, y no hay nada que podamos hacer por evitarlo, por eso hay que protegerlos

En cuanto a la privacidad, necesitamos que la industria tecnológica realice los mejores avances a nivel de redes que hayamos conocido hasta la fecha. En este sentido, el 5G será fundamental para el IoT, y necesitamos asegurarnos de que la ciberseguridad del mismo sea mejor que nunca, desde el principio. 

Además, habrá millones de dispositivos que se comunicarán entre sí, y necesitamos que éstos estén conectados a una red segura. Por ejemplo, será fundamental que la tecnología de los coches conectados esté especialmente protegida, cueste lo que cueste. Y es que, de momento, no es especialmente económica. Eso sí, en unos 10 ó 15 años, los procesos cada vez serán más sencillos y tendrán un menor coste, al igual que la tecnología de los coches autónomos evolucionará y permitirá que éstos tengan una mayor autonomía. 

En este sentido, sabemos que los vehículos conectados son susceptibles a ser hackeados. Por eso necesitamos a ingenieros de redes que estén pendientes en todo momento de un posible ataque. 

Este tipo de redes cuentan con tres elementos principales: productos, arquitectura y gente. Nosotros necesitamos una arquitectura muy elaborada que esté basada en la ciberseguridad del futuro. 

Por otra parte, también necesitamos el apoyo del gobierno y de las instituciones, ya que es importante que la gente entienda que la ciberseguridad es fundamental en sus vidas. Si no cambiamos la actitud, no podremos hacer nada.

  • En su opinión, ¿Existe la seguridad al 100%?

No, en realidad no podría garantizar la seguridad al 100%. Es imposible porque, tal y como nos demuestra la historia de la evolución humana, las personas nos adaptamos fácilmente al entorno y a los nuevos retos que nos propone el mundo. Así que, si pudiéramos comparar la creatividad con la que se realizaban las cosas hace 5.000 años con la de hace 5 años, no los principios no cambiarían, sólo se modificaría la forma. Los “chicos malos” estarán en contra de los “buenos”, y eso no va a cambiar. 

A pesar de que desarrollemos grandes protocolos de seguridad, hay un factor que no podemos controlar: la gente implicada. Y es que hay dos principios que definen a los empleados de una empresa y que no podemos evitar: cuestan dinero y cometen errores. 

Mientras dentro de la naturaleza humana esté implícito el hecho de cometer errores, la ciberseguridad al 100% nunca existirá. Si alguien te manda un e-mail con algún tipo de malware, lo abres y pinchas en el enlace, es un error humano. Ahí no hay ningún tipo de tecnología adicional, y no se puede controlar. La tecnología puede reducir el riesgo de impacto, pero no puede hacer que desaparezca por completo

  • Antes nos has hablado del ransomware pero, ¿Cuáles son las amenazas más peligrosas de hoy en día?

Creo que esta pregunta es imposible de responder, ya que depende de cuál sea tu riesgo y del momento en el que te encuentres. Por ejemplo, pongamos que tu negocio tiene que ver con un producto o con el lanzamiento del mismo. En este caso, tu gran riesgo o preocupación sería proteger tus servidores, ya que pueden ser atacados. Si eso ocurre, tus ventas podrían verse afectadas, ya que afectaría a tu reputación. 

Así que depende del concepto y del momento. La clave está en saber identificar qué tipo de riesgo te puede afectar. Si, por ejemplo, eres una empresa de almacenamiento y distribución de datos, tendrás que poner especial empeño en realizar backups de los mismos. Así, si recibes un ataque ransomware, no tendrás problema en volver a recuperar esa información y podrás apagar tus sistemas sin miedo a sufrir ningún daño.

Si, por ejemplo, eres camarero de un restaurante. ¿Tendrás que preocuparte por tus servidores? Claramente no, ya que tu principal preocupación debería ser otra. 

Por otra parte, también hay que tener en cuenta los riesgos y los planes de crisis de los que hemos hablado antes. 

  • Hay muchos detractores de WhatsApp que consideran que es una plataforma insegura, a pesar de tener cifrado de datos, ¿Qué opina?

Realmente no sé si es una plataforma segura. Si pienso en los servicios en la nube, redes sociales y redes corporativas, no hay ninguna razón por la que éstos no podrían tener implantada una mejora en ciberseguridad. Mi opinión es que este tipo de plataformas de notificaciones deberían tener la mejor seguridad que existe.

Sobre el autor de este artículo

Ana Muñoz

Licenciada en Periodismo. Tecnoadicta, apasionada por los wearables y las pelis de superhéroes.