Hoy soñé…

Carles Solé Pascual
Director del Instituto Español de Ciberseguridad.

Hoy soñé que me compraba un nuevo y flamante smartphone. No recuerdo la marca, ni el sistema operativo, pero sí algo que me llamó mucho la atención. En la parte posterior, bajo la lente de la cámara, llevaba serigrafiado un pequeño sello dorado en el que se podía leer “Cybercrime Proof”. Me resultó curioso, pues el logo no pertenecía a ninguna firma conocida.

Lo encendí. El dispositivo vibró levemente y apareció una barra de progreso en la pantalla que anunciaba “vinculando el dispositivo al propietario”. Un pequeño láser localizó primero mi rostro y me escaneó después de arriba a abajo. Iban apareciendo chequeos por pantalla: “Facial… Ok. Retina… Ok. Venas… Ok. ADN… Ok.”. En este último tan sólo noté un ligero cosquilleo sobre la palma de mi mano. Genial, ya no harían falta ni pines, ni contraseñas, ni secuencias de movimientos más o menos complicadas de recordar…, pero tan fáciles de robar.

Apareció la pantalla de inicio y se me ocurrió dejarlo un momento sobre la mesa y alejarme algunos pasos. Tal cómo sospechaba: se bloqueó. Al cogerlo de nuevo se encendió la pantalla, listo para empezar a instalar aplicaciones. Empecé por el WhatsThat, la app de mensajería de moda. Bajó de la tienda y apareció un nuevo mensaje en la pantalla, “Analizando App”. Un cuadro de diálogo me mostraba todo aquello que pretendía abrir la aplicación: mi agenda, mi correo, mi cámara, mi geolocalización. Y podía marcar lo que le iba a permitir, como propietario de mi intimidad, y lo que no. También mostraba, para mi sorpresa, qué información pretendía enviar a alguna nube y de qué modo. En una barra lateral se mostraba el nivel de confianza de la aplicación, que iba del verde tira-millas al rojo no-te-fíes. Resultaba hasta intuitivo, como si no lo hubiesen concebido expertos en seguridad sino los propios diseñadores del producto. El mito de la seguridad embebida se materializaba ante mis ojos.

No acabaron aquí las sorpresas. Soñar es gratis, ¿no? El trasto en cuestión ofrecía, desde la pantalla de inicio, una intrigante opción de multi-identidad. Curioso que es uno, me metí hasta el fondo del asunto. Y resultó ser el Santo Grial de la movilidad. Uno se podía crear espacios personales y corporativos, todos ellos aislados y con las necesidades particulares necesarias. Por fin podía, desde un mismo equipo, actuar como tipo normal con su familia y amigos, como empleado de una empresa y como miembro de alguna asociación o grupo de trabajo. Simplemente deslizando los dedos por la pantalla. Brutal.

Y sospeché. Gato viejo que es uno, claro. Pero todos los intentos para hackear las aplicaciones o para hacerme con el sistema resultaron infructuosos. Era como si los programadores hubiesen incorporado, en una especie de acto de rebeldía, las mejores prácticas de seguridad. Ni siquiera los cero day funcionaban. ¿Había triunfado por fin el ingenio humano?

La emoción me embargó. Incluso derramé un par de lagrimillas ante aquella maravilla. Había esperanza para la humanidad: la evolución progresaba adecuadamente. Iba incluso más allá de lo personal, pues abría la posibilidad de ofrecer a la empresa un entorno seguro donde combinar lo profesional con lo personal. Ya no necesitaría tantos bolsillos en mis americanas. Al menos para llevar los diferentes smartphones, uno por cada identidad.

Y desperté. Pero aunque los sueños, sueños son, busqué rápidamente mi entrada al MWC y me dispuse a visitar stand por stand con la esperanza de encontrarlo en el mundo real. Sin embargo, tenía poco tiempo y no lo encontré. Así que si habéis estado por ahí y habéis visto algo parecido, por favor hacédmelo saber enseguida que me lo quiero comprar.

Ciberseguridad, ¿por qué ahora?

Carles Solé Pascual
Director del Instituto Español de Ciberseguridad.

Es el prefijo de moda: ciber. Llevamos lustros haciendo frente a las amenazas que se fraguaban en el ciberespacio: virus, phishing, troyanos, denegaciones de servicio, inyecciones de código, explotación de vulnerabilidades, robo de información y qué sé yo cuántas palabrejas más. Llevamos, de hecho, años alertando sobre un futuro hostil, postulándonos como los agoreros del negocio con nuestras predicciones, llevándonos las manos a la cabeza cada vez que se saltan nuestras recomendaciones. Y de pronto llegan Wikileaks, Stuxnet, Snowden, Duqu, Flame, brechas a diestro y a siniestro… Y el mundo cambia. Las cúpulas de las empresas se giran de pronto hacia nosotros y nos preguntan: ¿estamos a salvo?

Pero, ¿acaso no es lo mismo que vaticinábamos en el pasado? De acuerdo, hablábamos en un lenguaje que nadie entendía. Ni los propios técnicos. Así que costaba conectar con el negocio. Pero nos esforzamos. Fuimos a costosas escuelas de negocios, aprendimos a manejar el PowerPoint y el Excel mejor que el Nessus y el Perl. Nos pasamos a las certificaciones que llevaban la M de Management. Nos codeamos con la estirpe de nuestras compañías. Incluso nos pusimos una C de Chief en nuestros roles. Nacía el CISO, el único C-level que no suele estar en el Board, pero que debe mantener en equilibrio un millar de platos chinos sobre las delicadas facetas del negocio. Dejamos de ser los que instaban el antivirus. Gran consuelo.

Sin embargo todo esto no ha bastado para hacer llegar el mensaje. El detonante ha sido otro, y le llaman ciber-lo-que-sea: ciberamenazas, cibercrimen, ciberguerra, ciberespionaje, ciberdefensas. Pero, si el ciberespacio existe desde hace décadas, ¿por qué surge esta preocupación ahora? La respuesta es sencilla. Las amenazas han trascendido el ámbito de las empresas y ahora penden sobre los estados y sus sociedades. Ya no se trata de proteger a determinados sectores ante fraudes económicos o molestas denegaciones de servicio. Ahí se apañe el sector privado.

No, ahora se trata de dominar este nuevo espacio operativo y protegernos de las amenazas que entraña a nivel nacional. Disponer de la inteligencia y de las defensas necesarias para proteger nuestros activos más estratégicos y nuestra sociedad. Nuestras infraestructuras críticas están en juego si no estamos bien preparados. Al menos tanto como nuestros potenciales enemigos.

El ciberespacio nos ofrece la oportunidad de desarrollarnos como sociedad, de crecer y de ser competitivos a nivel global. Proporciona el marco de relación ideal para llevar nuestros negocios más lejos y hacerlos crecer más rápido. Pero también entraña riesgos que debemos comprender y mitigar si queremos allanar el camino del progreso. No podemos permitir que otros lo comprometan.

Con el nacimiento de este blog queremos ofrecer un lugar de reflexión, discusión y concienciación acerca de este concepto que está calando con fuerza en la sociedad. Sumar diferentes voces y opiniones para aprender entre todos y poder influir en las decisiones a nivel personal, profesional y nacional que nos ayuden a hacer de ese ciberespacio un lugar más seguro.

Como decía al principio, ciber es el prefijo de moda. De acuerdo. Pero si ha servido para elevar el nivel de concienciación a nivel nacional sobre unas amenazas de tal calado, ¡bienvenido sea!