"En ciberseguridad no puedes arraigar un plan de seguridad; lo que montaste hace cuatro años ha quedado obsoleto"

Escucha la entrevista en audio:

 

 

Nerea Bilbao / Imagen: Juan Márquez

 

Haber estado en el "otro lado" ha ayudado, y mucho, a Max Moreno, CISO de Vía Célere. No sólo ayuda a comprender la mentalidad del atacante, sino que le permite poner en marcha ataques a su propia empresa para descubrir vulnerabilidades. Lo hizo hace poco con una impresora instalada en la compañía. Descubrió una vulnerabilidad y el fabricante respondió con un parche.

Para Moreno la formación continua es fundamental en el área de ciberseguridad imprescindible. Tal vez sea por eso que el roadmap puesto en marcha, y que le valió quedar finalista en la edición 2022 de los CIO 100 Awards, pone tanto énfasis en la formación de la plantilla, a pesar de que estas iniciativas le hacen quedar en muchas ocasiones como "el más odiado", bromea.

 

 

Decías en la entrevista en vídeo que vuestro sector es uno de los más atacados después del de Banca. ¿Cuál es la razón?

Antes este tipo de empresas pagaban mucho y no contaban con un departamento de seguridad como tal. En el sector de la construcción, el atacante piensa que el usuario final es un obrero que va a tener menos conocimientos de informática que alguien que trabaje en una oficina y que esté todo el día del ordenador. Nosotros lo vemos con las campañas de phishing; la parte de los obreros es mucho más susceptible que la parte de oficina.

 

¿Cuáles son los activos que se atacan, por dónde intentan entrar?

Yo creo que siempre el vector de ataque del phishing es el correo. Luego tratan de conseguir credenciales para a partir de ahí ir escalando. No suele haber ataques dirigidos como tal, si no es una empresa muy grande. Suele haber siempre campañas de phishing tratando de obtener credenciales. Al final en el correo tienes resúmenes bancarios y cosas del estilo.

 

¿Cómo fue el proceso de creación de este departamento?

Nosotros tenemos cuatro años y medio. Nacemos cuando la empresa Vía Célere era una empresa familiar, la adquiere un fondo americano al 50% y lo primero que entra es la idea de que la parte de ciberseguridad y la protección del dato son muy importantes.

Ellos se basan en un roadmap de seguridad que han implantado en Vía Célere y que tienen en marcha en Wizink Bank, una de sus filiales.

 

Fue una imposición a raíz de esta adquisición.

Sí. Nace de cero; no tenían nada de ciberseguridad. Los usuarios eran los administradores de sus propios ordenadores y demás. Yo estoy desde el inicio. Hice el roadmap primario, la evolución y ahora vamos por la cuarta versión.

 

¿Cuáles son las prioridades cuando entras en un sitio que no tiene un departamento de seguridad?

Bueno, lo primero fue hablar con el departamento de IT, proponer una maqueta y estandarizar  los sistemas operativos, estandarizar las credenciales, los permisos y demás, que tampoco estaba fundamentado en la empresa.

 

Entiendo que tiene que ser un plan vivo que se va adaptando a las nuevas tendencias y circunstancias del mercado.

En ciberseguridad no puedes arraigar un plan de seguridad, porque lo que montaste hace cuatro años ha quedado obsoleto. Todos los años o cada seis meses hay que revisar cosas e ir adaptándolas constantemente.

 

Ahora que estamos asistiendo a la explosión de la IA, ¿cómo afecta a la seguridad de una empresa, más allá de los sesgos y de las cuestiones éticas?

Creo que para bien y para mal. Para bien porque nos permite agilizar tareas o automatizar procesos, que va muy bien. Y para mal porque lo están usando; ya se está usando en campañas de phishing como programando correos automáticos.

Por el lado del atacante es una herramienta poderosísima y éste siempre va por delante de las empresas, porque es una persona que no tiene reglas y no necesita pedir permiso a la dirección para desplegar una herramienta.

 

Vosotros usáis inteligencia artificial internamente.

Sí. Está capado para los usuarios en todas las páginas como ChatGPT o las de Google para que el usuario no acceda porque realmente el usuario va a querer agilizar su trabajo porque lo ve en internet o en cualquier red social y, en este proceso, va a regalar información de la empresa.

 

“Pensamos que obligar a cambiar la contraseña periódicamente conlleva simplificar una contraseña”

 

Para que el usuario entienda los peligros, ¿habéis tenido que poner en marcha iniciativas de formación?

Tenemos mucha formación y varios portales que les enseñan y cursos obligatorios en ciberseguridad incluidos en el roadmap de recursos humanos.

También hacemos cuatro o cinco campañas de phishing al año, hacemos pentest y buscamos que el usuario se equivoque para decirle dónde se ha equivocado y enseñarle.

¿Cómo está siendo este cambio cultural, os habéis encontrado con mucha resistencia?

Muchísima. Los de IT piensan que soy el más odiado de la oficina, piensan que vengo a dificultar el trabajo. Pero lo cierto es que hay posiciones europeas a las que tenemos que responder, como la autenticación multifactor (MFA). Muchas cosas, además, llegan desde el Comité.

En cualquier caso hay que tirar para adelante, que el usuario se acostumbre y hacerlo lo menos difícil posible para ellos.

 

En relación a los accesos, ¿cómo habéis armonizado la gestión de identidades?  

Nosotros trabajamos con Microsoft, tenemos todo la nube y acceso con doble factor, usuario y contraseña más MFA. Nosotros somos de las pocas empresas que no tienen cambio de contraseña. Pensamos que obligar a cambiar la contraseña periódicamente conlleva simplificar una contraseña. Elegimos una contraseña muy robusta, tiene que ser bastante larga, y luego únicamente los usuarios se validan por un MFA. Ya no cambian la contraseña sino que solamente validan el MFA.

 

¿Tenéis todo en la nube?

Estamos en plena migración de los servidores que estaban físicamente y ahora estamos mirando al cloud totalmente.

 

¿Cuáles han sido las razones desde el punto de vista de seguridad?

En seguridad es más fácil llevar la gestión en el cloud porque las normativas que aplicamos son prácticamente instantáneas y por coste; mantener infraestructura en el tiempo implica pagar un lugar, pagar hierro, como decimos en IT, que se queda obsoleto y hay que renovarlo. Esto no pasa en la nube; pagas el producto y no pagas la renovación porque ya se encarga la empresa que te brinda el servicio de ir renovando.

 

“Subir a 'cloud' te va a proporcionar un ahorro a cinco años, no instantáneo”

 

Estamos escuchando últimamente esto de que el ahorro de costes en cloud es un mito, que realmente cloud es muy caro en función de las cargas, de los picos.

En nuestro caso optamos por cloud porque logramos optimizarlo apagando las máquinas fuera de horario, por ejemplo. Lo que no gastamos en el CPD 24/7, por decirlo así, lo vamos a gastar en mayor seguridad, pero en relación a la parte de renovación, cuando nos toque hacerlo cada tres años o así, no vamos a tener. Subir a cloud te va a proporcionar un ahorro a cinco años, no instantáneo.

 

Hablas de retorno de la inversión. La figura del CISO ha evolucionado totalmente y ahora ya es también negocio.

Es una parte fundamental porque el dato es el principal activo de una empresa. Si bien todas las empresas se mueven por dinero, si no pueden obtener una ventaja digital sobre otras empresas y proteger los datos no podrían funcionar. Nosotros vendemos casas y si de un día para otro nos cifran todos los datos la parte de negocio no podría funcionar.

Evidentemente creo que la parte de ciberseguridad debe ir alineada con el negocio, con el roadmap de toda la empresa y todas las áreas que la conforman.

 

Sobre las decisiones de qué solución implementar, ¿cómo es el trabajo con el CIO?

Colaboramos totalmente. Ellos tienen ideas de proyectos, pero en Ciber en este caso se va un poco más allá y nos indican más o menos lo que deberíamos montar. Ellos lo evalúan y deciden qué es lo óptimo. Nosotros, basados en el roadmap de ciberseguridad por ejemplo, hemos pedido que los servidores tengan continuidad de negocio 24/7. Sabemos que tener un solo CPD, no generaría esa seguridad. Tener varias zonas de escalado en Azure nos proporciona eso. Tanto a IT como a Ciber, nos interesa trabajar juntos.

 

¿Sois un stopper para la innovación y la implementación de tecnología?

No. Probamos las máquinas Windows 365 tres días después de que saliera la propuesta en España. Nuestro partner de servicios nos informa de todas las herramientas nuevas que van saliendo y vamos probando; producción durante un mes y ya la estamos usando. Si es óptimo y no tiene ninguna brecha de seguridad, apostamos por ello en seguida.

 

A la hora de elegir proveedores, ¿estás de acuerdo con esta tendencia que defiende que hay que reducir proveedores para simplificar la gestión?

Eso depende del negocio. Si el negocio te lo permite te da más confianza, pero apostar todo a un solo proveedor también puede ser un problema. Nosotros tenemos segregados varios proveedores, si bien es verdad que estamos unificando algunos, pero creo que lo más importante es contar con un proveedor que sepa lo que te está vendiendo y que esté seguro dentro de su empresa. Que tenga la misma noción de ciberseguridad que tienes tú en tu empresa.

 

"Si el negocio te lo permite te da más confianza, pero apostar todo a un solo proveedor también puede ser un problema"

 

¿Qué es lo que le pedís a un proveedor? Hace poco preguntamos esto a los responsables de TI de varias empresas y casi nadie habló de tecnología.

Yo valoro mucho la formación, que las personas que entran en el equipo de nuestro proveedor sean informáticos de verdad, que tengan una línea continua de estudios, porque la ciberseguridad, igual que los médicos, tienen que ir estudiando constantemente. Todas las semanas sale algo nuevo.

Una persona de IT que se quede en el tiempo y esté cuatro o cinco meses o años, o incluso en algunos casos sin estudiar nada nuevo, no es una persona válida para un departamento. Luego también es importante la implicación; que se impliquen como si el activo, el dato o la empresa fueran de ellos también.

 

Por ir terminando, antes me decías que venías del otro lado.

Yo empecé con 14 años del otro lado, en la parte de activista. En ese tiempo no era ni bueno ni malo, simplemente se trataba de meterse porque estaba abierto y de descubrir. No tenía nada que ver con ciberataques.

Estuve un tiempo en esto hasta que me empecé a formar y elegí el bando correcto.

Hice una Ingeniería en Sistemas y tengo el PhD. También terminé mis estudios en Bolton. Hubo una época de mi vida en la que tuve que elegir entre jugar juegos profesionales o dedicarme a la ciberseguridad. Pensaba que nadie iba a querer ver a alguien jugando. Pensaba: ¿quién va a pagar por verte jugar a ti?

Cuando yo jugaba, vivía en Nueva York y había empresas como Microsoft que patrocinaban eventos muy pequeñitos; te hablo de patrocinios de 100 dólares para comprar unas Coca-Colas nada más. Ahora montan en el IFEMA grandes infraestructuras solamente para ver a alguien jugar.

 

¿Es importante haber estado en el otro lado para entender cómo puede pensar que nos ataca?

Creo que me da una ventaja. Tuvimos una sesión con el director de la Guardia Civil y nos decía que ellos tienen que entrenar para ver cómo piensa el atacante.

Yo siempre me pongo en el lado de qué haría yo si quisiera tener los datos de mi compañía. Tener una visión del otro lado te permite tener una mejor posición sobre el atacante.

En mi empresa hago unos pentest muy agresivos. Hace nada me puse a hackear la impresora en búsqueda de vulnerabilidades y al final encontrábamos que había una vulnerabilidad que te permitía ver la cola de impresión o tener documentos de la empresa. Contactamos con el fabricante y le informamos sobre la brecha y en seguida mandaron un parche.