03 Abr «Si ataco a una empresa, lo haré con la cuenta de TikTok del hijo de un trabajador»
El empresario y socio fundador de S2 Grupo, patrono de Conexus, alerta de que no hay cultura de ciberseguridad y de la falta de formación en perfiles especializados.
José Rosell es socio fundador de S2 Grupo, compañía valenciana especializada en ciberseguridad. Miembro de AVE y patrono de Conexus, es uno de esos empresarios comprometidos que considera que el éxito, si uno es valenciano, es «quedarse aquí para seguir generando riqueza».
–Su facturación aumentó el año pasado un 30% y la plantilla un 19%, han ampliado la sede de Madrid y realizado aperturas en San Sebastián y Sevilla. ¿Es el mejor momento de S2?
–Sí, aunque el entorno es complicado. Llevamos muchos años sin parar de crecer. La ciberseguridad se ha convertido en una necesidad y ya no es un tema de los técnicos sino que está en los consejos de administración. La tecnología ha entrado a una velocidad de vértigo y la ciberseguridad va al lado: cuando introducimos tecnología en un proceso, da igual la índole de que se trate (agua, energía, salud, justicia, etc.), cualquier empresa requiere tener este servicio. Y la pandemia, irse a casa a trabajar, ha complicado mucho esta materia para las empresas.
–¿Nos ha hecho vulnerables?
–Mucho más. Los entornos de trabajo son más amplios y la superficie de defensa es más amplia, por lo que se lo hemos puesto en bandeja a los malos. ¿Quién puede estar libre de todo esto? Pues el que no tenga tecnología, todos los demás estamos a su merced.
–Su lema es ‘Anticipar un mundo ciberseguro’. Imagino que para eso tienen que ponerse el gorro de malos.
–Y pensar como ellos. Nosotros somos una empresa defensiva, pero aún así tenemos que saber cómo atacar porque se producen ataques todos los días. Vemos cómo lo hacen para convertirlo en medidas defensivas para nuestros clientes. Es una lucha asimétrica y sin cuartel.
–Lo hemos visto estos días con el ciberataque al Hospital Clínic de Barcelona.
–Eso es sólo lo que trasciende. En España el crimen tradicional se mantiene constante, en torno a los 2 millones al año, mientras que el cibercrimen crece al ritmo de dos dígitos al año, estamos en unos 375.500, pero eso es lo que denuncia. Los estudios apuntan que sólo se denuncia el 15% de lo que se comete. Y hay que hacerlo porque tenemos que dimensionar el problema. Por ejemplo, las pólizas de ciberseguros no sirven para nada porque se calculan con estadísticas y, si no hay un número de incidentes reales, no pueden calcular el precio.
–¿Por qué no se denuncia?
–Miedo, daño reputacional. Cuando hay un incidente, lo primero que hace tu entorno es cortar las comunicaciones contigo porque eres una amenaza, te quedas aislado. Minuto que pasa, minuto que pierdes dinero y es muy difícil recuperar una posición de confianza. Nosotros siempre pedimos que se denuncie y consideramos un error no hacerlo. Las pymes están en la inopia, no son conscientes de lo que pasa. «No soy importante», dicen. Y es al revés porque formas parte de una red, estamos todos conectados, miles de millones de cacharros conectados a la red.
–¿Falta cultura de seguridad?
–Muchísima. Por ejemplo, lo de las contraseñas es dramático: las del ‘router’ de casa, que vienen por defecto, las sabe todo el mundo. La sociedad tiene que ponerse las pilas o vamos mal. Y las empresas son personas, por lo que no se pueden separar. Cuando te conectas en casa, pones en riesgo a la empresa si no eres seguro. Igual que sus familias; si quiero atacar a una empresa, lo más probable es que lo haga con el hijo de algún trabajador que tiene TikTok o se baja películas, pues le meto un bicho ahí. Y como se conectará en la red de su casa y su papá también lo hará, pues ese bicho acaba en la empresa.
–¿Qué importancia tienen los datos que se roban?
–Tienen valor desde distintos puntos de vista. Con los datos de tu tarjeta de crédito o tu historia clínica, puedo extorsionarte o comprar cosas en tu nombre. Si
lo sumas, tiene un valor económico. Pero hay mucho más tráfico de datos del que parece; por ejemplo, las credenciales. El usuario y la contraseña de una persona valen mucho dinero en el mercado negro, ya que para montar el pollo en una empresa, para entrar, lo que necesito son unas credenciales lícitas. Y en ese mercado negro de las credenciales las roban donde menos te lo esperas, porque a lo mejor eres usuario de la PlayStation y tienes la
misma contraseña que en el trabajo. ¡No hagas eso, por favor! O la gente que pone patata como contraseña; a mis equipos les cuesta menos de 30 segundos robarte la contraseña.
–No le dejo mi teléfono por si acaso.
–(Ríe) Dicen mucho de Pegasus pero hay programas espía que valen 20 dólares al año y te lo enganchan al teléfono. O TikTok.
–Se habla mucho estos días de esta red social ¿es una amenaza tan grande como se dice?
–Lo que es una amenaza es su dueño. ¿Qué derechos vas a intentar ejecutar en una empresa que es de origen chino? Ningunos; hacen con los datos lo que
les da la gana.
–¿Es necesario elevar el tema de ciberseguridad a cuestión de estado?
–Está ya. España es una potencia en materia de seguridad, quizás por una Ley de Protección de Datos con un régimen sancionador muy duro. Tenemos el Centro Criptológico Nacional con unas capacidades espectaculares y que es envidia de otros países: el Departamento de Seguridad Nacional; Incibe… Se está haciendo mucho trabajo pero el problema es de dimensiones colosales. Y estamos hablando de ciberseguridad IT, aún no hemos nombrado la ciberseguridad industrial, que afecta a los sistemas de control.
Desde un ascensor a una cafetera pasando por una central nuclear, un coche o una presa, todo tiene un sistema de control y es susceptible de ser atacado. Es la gran asignatura pendiente.
–Participaron en el estudio sobre la ciberseguridad industrial de las empresas de la Comunitat Valenciana. ¿Cuáles fueron las principales conclusiones?
–Que está todo por hacer. No somos conscientes de los riesgos; puedo tumbar una planta desde Honolulu con una tablet y un ingeniero industrial te dirá «¡Venga ya!». Pero es así. Esa cultura que en la parte IT aún no tenemos, en la parte OT, la industrial, ni de casualidad está. Sólo somos conscientes cuando nos dicen que han tumbado al Clínic de Barcelona. Eso significa que no han podido utilizar quirófanos, que no saben qué medicina dar a cada persona que tienen en la habitación, que no han podido hacer resonancias… Una catástrofe. Lleva eso a todos los sectores productivos y es una catástrofe, tenemos que ponerlos las pilas.
–¿Cómo ha evolucionado el delito informático en estos 15 años?
–Es alucinante. Cuando empecé había allanamientos de morada digital, pero el ‘ransomware’ ha sido una auténtica pandemia. desde 2019. Porque te cifra y pierdes toda tu historia digital, que muchas empresas tienen al 100%, por lo que no pueden pagar nóminas, dar información a Hacienda… sólo les queda cerrar. La situación es muy grave, sobre todo en las pymes, que son las que menos recursos disponen.
Tienen que entender que no pueden transformarse digitalmente sin medidas de seguridad.
–¿La falta de perfiles tecnológicos sigue siendo uno de los grandes problemas del sector?
–Es uno de los grandes problemas. En nuestro caso, por el tipo de empresa que somos, tenemos proyectos muy chulos y con gran atractivo para la gente joven, a la que les atrae trabajar aquí. Sin embargo, en general, es complicado encontrar un perfil de seguridad. Nosotros también tenemos problemas de personal y por eso nos hemos creado una universidad, Enigma University, porque las universidades no nos dan lo que buscamos. No somos profesores, es algo que no debería suceder, pero no hay gente que
prepare a los jóvenes, así que tenemos que hacerlo nosotros. Si todo el mundo está de acuerdo en que la tecnología evoluciona rápido, ¿por qué la universidad
no lo hace al mismo ritmo?
–¿Se cuida la I+D+i por parte de las empresas valencianas?
–No. De hecho, AVE tiene la Fundación LAB para ello. La clave es la innovación, la base científica y el emprendimiento. Nuestras empresas no son las más innovadoras. Por ejemplo, en turismo somos buenísimos pero tenemos mucho ladrillo y vienen las plataformas (que son americanas y activos intangibles) y se llevan el dinero. Si somos tan buenos en turismo, ¿por que no se crea una plataforma? Porque luego la riqueza se la llevan, no se queda aquí. Que una empresa valenciana se venda no es un éxito, sí a
nivel personal para el empresario pero no para la Comunitat porque todos los impuestos que ha invertido en mí se perderían. Sí, habría puestos de trabajo pero la
riqueza se iría. Éxito son las empresas que se quedan en la Comunitat. Nuestros empresarios deberían pensar que la economía nueva es digital, aquí se están creando muchas startups. No hay que abandonar la empresa tradicional pero se puede trabajar también con las startups.
–¿Qué papel deben jugar los empresarios en la sociedad? Hemos asistido a un ataque continuo desde un partido político.
–Es un error, no acaba de entenderlo. Hay empresarios que están haciendo mucho por la Comunitat y no se merecen las críticas. Creo que el empresario es una persona que quiere crear riqueza para él y la Comunitat: yo estoy encantado de generar trabajo, ahora tengo una plantilla de 650 personas y son 650 familias que viven de esta empresa. Podría ser rico, sí, pero ese no es mi papel. Y los empresarios tecnológicos estamos apostando mucho para que Valencia tenga empresas de base tecnológica, ya que es el futuro. Eso se hace desde el sector privado, no desde el público como en otros sitios (Cataluña o País Vasco), para convertir a Valencia en un ‘hub’ de empresas tecnológicas, incluso mejor que Málaga, y con interés para empresas extranjeras.
Los empresarios patronos de Conexus recomiendan esta noticia de Las Provincias