John Shaw (Sophos): "Nuestros ordenadores y dispositivos pueden ser asaltados, al igual que nuestras casas u oficinas"

En una entrevista concedida a Portaltic, John Shaw, Vice President of Product Management for Enduser Security de Sophos, analiza los actuales retos en esta materia y la tecnología de última generación existente para hacerles frente.

- Cada vez son más las soluciones de seguridad para las empresas y, sin embargo, cada semana alguna gran compañía ve cómo sus datos son hackeados, ¿por qué cree que ocurre esto?

Existe una industria próspera que cuenta con cientos de fabricantes de seguridad que desarrollan más y más defensas para que nosotros las utilicemos, constantemente innovando. Sin embargo, la mayoría de las empresas no se están beneficiando de todas estas innovaciones, ya que por lo general son complejas y caras, y diseñadas más bien para equipos expertos en seguridad altamente cualificados que para los habituales equipos de TI. El sector debe mejorar la fabricación de productos de seguridad que sean sencillos de implementar y mantener, o se quedarán en la estantería y no ayudarán a nadie.

Otro problema es que muchos fabricantes de seguridad insistan constantemente en descartar tecnologías de otros para intentar conseguir que los clientes pasen sus presupuestos de un producto a otro, en lugar de reconocer que la mejor opción para ellos es la de sumar esfuerzos y continuar sumando defensas, utilizando la tecnología A y B en lugar de hacerles elegir ente A o B. Al igual que no por instalar una alarma de seguridad en nuestra casa no significa que vayamos a dejar la puerta sin cerrar cada vez que salimos.

- ¿Considera que los dispositivos móviles son seguros?

Sólo si se utilizan de forma correcta. Hoy en día un dispositivo móvil es como un ordenador, solo que con una pantalla más pequeña, por lo que necesita ser protegido del mismo modo que protegerías tu ordenador. Sabemos también que dos de cada tres empleados utilizan sus 'smartphones' con fines laborales, lo aprueben o no las empresas. Y sabemos que se guardan datos muy valiosos en ellos.

La mitad de los usuarios ni siquiera tiene una contraseña en su dispositivo, lo que significa que si te olvidas el iPhone en el tren, tus datos desaparecen. Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea con multas del 4% de los ingresos de la empresa, podría suponer un error muy caro para cualquier compañía cuyos trabajadores lleven datos empresariales valiosos en su dispositivo y lo pierdan.

- ¿Debe preocuparse la gente de a pie por la ciberseguridad como una potencial amenaza más?

Sí, la gente debería estar bastante preocupada y debería empezar a actuar en consecuencia. Necesitamos darnos cuenta de que nuestros ordenadores y dispositivos pueden ser asaltados, al igual que nuestras casas u oficinas, y tenemos que empezar a echar la llave a las puertas, cerrar las ventanas, y así sucesivamente. Es doloroso pero necesario.

- ¿Qué papel juegan las autoridades en proteger a los usuarios de estas amenazas?

Las autoridades deberían centrarse principalmente y en primer lugar en proteger adecuadamente sus propias organizaciones. Los gobiernos cuentan con mucha información de cada uno de nosotros los ciudadanos. Utilizan muchas infraestructuras críticas y disponen de mucho dinero. Los gobiernos son un objetivo natural para los cibercriminales a los que les motiva el dinero, al igual que al resto de nosotros, así como también para aquellos hackers a los que les mueven planteamientos políticos.

- Desde 2003 que entró en la compañía, cuando aún no eran populares los 'smartphones', ¿cómo ha cambiado el panorama en cuanto a ciberseguridad? ¿Cree que avanzamos?

Los 'smartphones' realmente no existían cuando me uní a Sophos desde Microsoft. Tuve el iPhone de primera generación cuando salió en 2007, era algo revolucionario, y hasta entonces pensábamos que un teléfono inteligente significaba poder usar WAP y WML, ¿los recuerda? El panorama desde entonces ha cambiado radicalmente, tanto lo que estamos tratando de proteger (teléfonos inteligentes, Internet de las cosas, SaaS, Infraestructuras en la nube, etc...) como aquello contra lo que nos estamos defendiendo.

El cibercrimen ha evolucionado en ese tiempo de hackers que hackeaban por diversión, tal vez para causar un daño y ocasionalmente ganar dinero, a un mercado global y masivo donde existen herramientas extremadamente sofisticadas y modelos de amenazas en constante evolución. Y sus técnicas son complejas e implican muchos pasos y exploits (programas o códigos que "explotan" una vulnerabilidad). Los días en los que simplemente un malicioso malware.exe era instalado desde un disco extraíble desaparecieron hace tiempo. Por lo que los productos que hacemos ahora tienen que ser mucho más avanzados que los tradicionales "antivirus". Nuestro nuevo producto Intercept X y nuestra estrategia de seguridad sincronizada son dos buenos ejemplos de esta evolución.

- El control gubernamental o incluso la censura, ¿es un arma eficaz contra los hackers?

Ciertamente puede ayudar. Por ejemplo, el gobierno del Reino Unido está trabajando con los proveedores de servicios de Internet británicos para bloquear las URL que utilizan los cibercriminales. Pero, por supuesto, no es suficiente. Todos nosotros tenemos que asumir la responsabilidad de nuestra propia seguridad. Si asaltan mi oficina, no culpo al gobierno, pero si que espero que intenten atrapar al ladrón y lo consigan.

- ¿Están los usuarios más protegidos en Estados Unidos o en la Unión Europea? ¿Y las empresas? ¿Cómo cambiará esto con el Reglamento general de protección de datos de la UE?

Internet es global. Todos estamos igualmente expuestos. Es posible que las empresas estadounidenses estén ligeramente mejor protegidas porque tienden a adoptar nuevas tecnologías de seguridad los primeros. Pero sinceramente, las empresas estadounidenses todavía tienen y sufren brechas de seguridad masivas en sus defensas.

El RGPD de la Unión Europea es una medida muy positiva, aunque sea doloroso para las empresas espero que les obligue a hacer las inversiones adecuadas en la protección de los datos de sus clientes y en la de sus propios datos. Además, es estupendo ver como la UE toma la delantera en este asunto aquí (sigo siendo un ciudadano europeo orgulloso, al menos por ahora).

- Ser consciente del control que ejerce un país (por ejemplo, Estados Unidos tras las revelaciones de Snowden), ¿beneficia al usuario o beneficia al infractor que aprende a ser más cauteloso?

Es importante que los gobiernos hagan el mejor uso de la tecnología para derrotar a los cibercriminales y especialmente a los terroristas. Y revelar lo que están haciendo puede advertir a los terroristas y ayudarles a cambiar su estrategia y ocultarse. Pero también es importante que los ciudadanos confíen en sus gobiernos y que sus autoridades tengan cierta transparencia sobre lo que están haciendo en nombre del pueblo.

Se trata de una contrapartida difícil, que existe desde mucho antes de que se inventara el primer ordenador. Y, por supuesto, ahora ya sabemos que el primer ordenador fue construido en secreto por los europeos, en el Reino Unido, al final de la segunda guerra mundial. Pero fue fabricado para espiar y vencer a un siniestro gobierno alemán que claramente no estaba actuando en favor del mejor interés de sus ciudadanos. Los europeos, incluida España, cuentan con experiencias históricas de gobiernos en los que no se puede confiar que actúen para el bien de todos sus ciudadanos, así que puedo entender por qué ha habido más ira y sospecha aquí sobre las revelaciones de Snowden.