«Vivimos en un mundo libre, pero eso nos hace más vulnerables»

Domina varios idiomas y, aunque asegura no ser un experto en geopolítica, su cargo al frente de una empresa de seguridad tecnológica con base en California pero fundada por un isralí le hacen ser muy consciente de cómo, al final, todo está hiperconectado y relacionado. Política y seguridad (tanto física como lógica) estrechan cada vez más sus lazos. Frente al «divide y vencerás», la apuesta de Palo Alto es concentrar las diferentes soluciones de seguridad en una única plataforma tecnológica.

¿Cuál es la propuesta que hace Palo Alto en seguridad?

Palo Alto Networks es el número uno en ciberseguridad a nivel mundial. El de la seguridad es un mercado muy fragmentado. Hay alrededor de 3.500 jugadores. Esto ha llevado a una situación donde, de promedio, una gran empresa tiene 32 soluciones diferentes para asegurar su patrimonio digital.

Por otro lado, muchas de las empresas creen que deben consolidar su seguridad porque es demasiado complejo de manejar, y no encuentran a las personas.

Palo Alto tiene su sede en Santa Clara, California. Fue fundada por Nir zuk, la estrella de rock israelí en ciberseguridad, en 2007. Tenemos dos grandes centros de I+D. Uno está en Israel, el otro en California. La razón por la que nos hicimos muy grandes es porque tenemos un enfoque de plataforma, no de muchas soluciones. Combinamos lo mejor de cada categoría en un enfoque de plataforma.

La ciberseguridad tiene que ser en tiempo real, estar altamente automatizada, porque no tienes 150.000 personas para responder a los riesgos. La ciberseguridad debe ser no fragmentada para que no tengas 35 herramientas diferentes. Se puede confiar en una plataforma para que se pueda ver todo el modelado en una política a través de los diferentes estados.

¿Cómo irrumpe la IA en seguridad?

El desafío para la mayoría de las empresas es que la IA ha llegado. La buena noticia para nuestros clientes es que Palo Alto Networks ha estado haciendo IA durante más de 10 años. Se llamaba aprendizaje automático, ahora se llama IA. Una de nuestras creencias fundamentales es que, si no estás aprovechando la IA, no puedes hacer una buena ciberseguridad. Esto se debe a que la IA aporta tres temas principales. Escala, velocidad y sofisticación.

Hace cuatro, cinco años, lo grande era el ransomware como servicio. Sin tener grandes conocimientos en atacar, cualquiera podía ir a los chicos malos y decir: “Por favor, ataca a X y vuelve”. Esto se llamaba ransomware como servicio. Ahora, cada persona puede jugar y hacer este ransomware con IA. Es un tema de.

Pero también tenemos el tema de la sofisticación. Se está usando las videoconferencias con deepfake para hacer ataques. Esto se está volviendo real, desafortunadamente.

Por otro lado, está la velocidad. Hace tres años, una empresa, cuando había un compromiso (es decir, cunado los atacantes logran entrar) pasaban unos 44 días hasta que se producía la filtración. Ahora, esto se ha reducido a horas. Nuestra Unidad 42, que es un grupo de emergencia, interviene y en el 50% de los casos, pasa menos de un día para que se filtran los datos. Por otro lado, tienes el tema de que la regulación está entrando en juego, lo que significa si tienes un incidente material, necesitas informar como empresa en un plazo de cuatro días. Por cierto, necesitas nombrar quién es responsable en caso.

En 2021, hubo un famoso gran ataque desde un gran país del este, que se llamó el ataque de SolarWinds, a una empresa llamada SolarWinds Public. Fue un ataque de la cadena de suministro. SolarWinds era un proveedor de software, una empresa de servicios y entraron en miles de diferentes empresas. Aunque fue en 2021, se hizo público en octubre del año pasado.

Tras el CEO y tras el CISO, el Jefe de Seguridad de la Información es una posición cada vez más relevante.

¿Cuáles son los desafíos más críticos a los que se enfrenta la empresa?

El primero es el evidente, que es la geopolítica. La mayor preocupación en este momento de los jefes de estado del G20, es el impacto, la influencia en las elecciones, que, por supuesto, los malos solo obtienen si entran en los sistemas. Eso te muestra que la superdemocracia es vulnerable, que la sociedad también lo es. Y tienes el tema del estado-nación cuando se trata de ataques de estado-nación. Cuanto más te acercas a la frontera ucraniana, más alertados están los gobiernos o las empresas de infraestructura crítica. Por cierto, los ataques de estados nacionales no se pueden asegurar como empresa. No hay seguro para ello. El objetivo de los atacantes de estados nacionales, de dondequiera que sean, es crear disrupción. En la primera gran ola de la guerra de Ucrania-Rusia, el aspecto dirigido de Rusia fue todas las telecomunicaciones y medios, con el fin de interrumpir y deshabilitar las comunicaciones, lo que crea caos para los civiles y militares. En la segunda fase, fue más la electricidad y el suministro de energía. Es un elemento crítico específicamente para las democracias porque somos más vulnerables. No soy experto en geopolítica, pero la seguridad sigue funcionando igual cuando son los estados quienes atacan a otros. No hay una puerta de entrada alrededor del país con la que puedas controlar todo. Vivimos en un mundo libre y puedes tener intercambios con quien quieras. Así es como vivimos, Pero eso nos hace más vulnerables por definición.

El segundo tema es, por supuesto, los ataques de ransomware, donde alguien busca una ganancia financiera. El ransomware clásico sigue creciendo. En el mercado español es también bastante grande.

El tercero, vinculado al primero y al segundo, es el espionaje, que sigue siendo un tema candente.

Es CEO en EMEA y Latinoamérica. ¿Ve diferencias entre los diferentes territorios bajo su mandato?

Europa tiene mucho que ofrecer. Europa es líder en automatización industrial. Estamos muy por delante en términos de automatización industrial, pero esto es muy atractivo para los malos, independientemente de dondequiera que vengan. Por eso también decimos que se necesita proteger todos los activos digitales de la empresa. No es solo el mundo de la TI, también es el mundo de la tecnología operativa (OT). Por cierto, también hay una nueva versión de ataque. Podemos criticar mucho a Europa porque hay mucha regulación, pero se están dando los pasos correctos. Estados Unidos se sorprendió bastante de que Europa fuera la primera en establecer un marco para regular la IA. Europa también estaba bastante avanzada cuando se hablaba de NIS I y NIS II, para proteger las empresas de infraestructura crítica, vitales para el funcionamiento de una sociedad.

NIS 2 entra en vigor en noviembre de 2024. Solo para darte la magnitud, en Alemania, eso significa que el número de entidades que están sujetas a NIS 2, se multiplicará por alrededor de 10. Sube de 2.500 a algo así como 29.000. Pero lo mismo es más o menos cierto en España. Eso significa que muchas más empresas que son críticas para el funcionamiento de la sociedad, para la economía y demás, tendrán que estar mucho mejor preparadas, fortalecidas en términos de su ciberseguridad. El marco está cambiando constantemente, pero está aumentando solo porque la exposición de la interconectividad digital ha cambiado.

Muchas empresas están trabajando en un ecosistema, con proveedores, clientes y socios. Eso significa que tienes bastantes personas, a las que llamamos terceros, que quieren tener acceso a tu aplicación crítica. Muchos de estos accesos en el pasado eran lo que llamamos no gestionados. Sabías que accedían, pero realmente no tenías control de quién era realmente esa persona que está detrás de ella, en términos de identidad. Por eso hemos adquirido la empresa líder en seguridad de navegación empresarial. Básicamente, les dices. “Oye, aquí hay una puerta. Si quieres entrar, usa este navegador”, que está completamente bajo control por el sistema orgánico.

La economía española es un buen ejemplo, todos estamos interconectados hoy en día. La otra cosa que ha cambiado mucho en los últimos tres años es, por supuesto, la forma de trabajar debido al COVID. Históricamente, una empresa se definía muy fácilmente por su línea de demarcación, lo que significa que tienes una sede central, tienes sucursales, tienes un sitio de producción. Era la seguridad perimétrica. Pero hoy en día, es fluido. Puede ser un dispositivo, tu ordenador privado en casa si usas un navegador. Por eso decimos que el panorama de amenazas realmente se ha magnificado. Eso es, en pocas palabras, lo que vemos. Hay muchas soluciones para esto porque hay 3,500 empresas ahí fuera.

Algunos competidores dicen que la media de soluciones de seguridad en una empresa es incluso superior a la cifra que ha dado.

Sí. Hemos visto casos donde había incluso 100. Podría ser, sobre todo si eres una organización súper grande.

¿Por qué sucede esto? ¿Por qué está tan fragmentada la seguridad?

Está muy impulsada por el panorama de amenazas. Siempre que hay algo nuevo, un nuevo vector de ataque, hay un emprendedor inteligente, hombre o mujer, que dice: “Hey, he encontrado la solución perfecta”. Luego salen y dicen: “Hemos dado con esta gran nueva amenaza. Encontramos un fondo de capital riesgo”. Ese es el sueño de muchos. Por eso hay mucho emprendimiento, lo cual es bueno, pero crea una industria fragmentada. Lo que ofrecemos a nuestros clientes es la combinación de la mejor solución de su clase. Algunas personas también lo llaman solución puntual, pero lo combinamos en un enfoque de plataforma. Es por eso que hemos creado tres plataformas. Esas son las tres más nuestra Unidad 42, que es el brazo de inteligencia de amenazas, uno de los mejores del mundo. Comenzamos con la seguridad de redes. Luego creamos la seguridad en la nube, y creamos una solución para el centro de operaciones de seguridad. Las tres plataformas reflejan nuestras tres grandes convicciones. La primera, infraestructura, red y seguridad deben estar juntas. Ese es el número uno. Por eso hemos creado un enfoque de seguridad de red de confianza cero. La segunda gran convicción e que el mundo se mueve hacia un mundo multicloud. Va a haber diferentes jugadores dependiendo de la empresa, dependiendo del tamaño, etc. Por eso necesitamos encontrar una solución única a través de las diferentes nubes. La tercera cosa es que decimos que las personas solas no conseguirán dominar solas la ciberseguridad. Si quieres ir a la ciberseguridad en tiempo real, altamente automatizada y en una plataforma, entonces necesitas usar IA o aprendizaje automático para hacerlo. Eso es, en pocas palabras, nuestras tres grandes convicciones.

Comentaba que ha hecho adquisiciones diferentes. ¿Esto ayuda a reducir la fragmentación que hay en el sector de la ciberseguridad o cree que es imposible evitar esta fragmentación?

Puede haber un poco más de consolidación, pero dada la dinámica de esta industria, habrá todas estas nuevas empresas que están entrando y encontrando soluciones para nuevos problemas. No compramos para ser el gran consolidado. Compramos porque queremos combinar la mejor solución de su clase y el enfoque de plataforma modular. No vamos a obligar a los clientes a comprarla entera, porque sabemos que se han tomado decisiones históricas, y que estás depreciando durante un cierto tiempo las soluciones que han comprado. Pero te ayudamos a platformizar. El 68% de los clientes globales que tenemos usan dos o más plataformas. Hay un claro deseo de consolidar. Gartner dijo que el 75% de los clientes dicen que quieren consolidarse. Decimos, Te ayudamos perfectamente. Es una modular. Juntos, definiremos el ritmo.

¿Cree que, por ejemplo, en LATAM, también sienten que la guerra de Ucrania es un riesgo para ellos o nos ven como un problema europeo?

No. En América Latina, lo que hemos visto es que ha habido bastantes ataques al sector público. En Costa Rica, antes de las elecciones en Brasil, ha habido bastantes ataques. No son inmunes a eso. Es un fenómeno global. Probablemente es un poco más acentuado No son un objetivo por la proximidad de Ucrania, cierto. Pero Brasil tiene un sector financiero muy fuerte como España, lo que lo hace un objetivo muy atractivo por naturaleza. La otra cosa es que Chile, Perú tienen recursos naturales muy interesantes, lo que los hace, de nuevo, un objetivo de infraestructura crítica interesante. Probablemente sea menos impulsado directamente por Ucrania, pero el hecho de que la geopolítica juegue, también lo ves en América Latina.

¿Y en Oriente Medio? Aparentemente no están preocupados por la geopolítica, pero no es, precisamente, una zona muy tranquila en el mundo.

Tienen un enfoque diferente. No comentaré sobre su posición porque ellos entienden que Ucrania es un asunto europeo. Quieren ser un lugar de comercio para el mundo. Si piensas en las naciones productoras de petróleo, también son un objetivo, porque tienen grandes recursos naturales, por lo que tienen otros desafíos.

Sí, pero ellos no se sienten en riesgo.

No por Ucrania, pero saben que tienen otras fuentes de preocupación.

¿Los gobiernos de los países deben estar preparados para una guerra cibernética?

Claro. Mira cómo Europa se está preparando para tener infraestructura crítica. Hay un redescubrimiento de que también necesitamos hacer nuestra parte de defensa. No hay democracia gratuita.

¿Cree que los ciudadanos son conscientes de la implicación de una guerra cibernética?

Déjame responderte con lo que escuché recientemente en una buena entrevista de un historiador mundial. Dijo, “creo que necesitamos leer”, y solo te diré que el concepto me pareció muy impactante. Esto tiene un vínculo con la ciberseguridad. Hay que estar alerta y preparado pero, de nuevo, no sueles estar preparado salvo que veas al agresor.

¿Cree que las infraestructuras, como la electricidad, están en riesgo? ¿El próximo gran impacto en ciberseguridad podría ser en este terreno?

Teóricamente, sí, porque esto es parte de lo que llamamos mundo de la OT. Es parte de la infraestructura crítica. Mira la vulnerabilidad de la fábrica de Tesla en Berlín. Activistas climáticos cerraron una de las grandes torres que suministraban electricidad a esta nueva fábrica de Tesla. Eso también es geopolítica. Se llama pensar lo impensable. Creo que necesitamos estar, en ese caso, muy bien preparados para usar escenarios porque la superficie de ataque está creciendo mucho. Hay este desequilibrio. El atacante, los chicos malos, solo tienen que acertar una vez. Nosotros tenemos que estar en lo correcto todo el tiempo. Ya sea una organización pública o si es un problema. Eso es mucho tiempo.