La ciberseguridad del futuro y por qué el Ingeniero de teleco es la persona ideal para liderarlo

Las telecomunicaciones y la informática son tecnologías horizontales, se han metido en todas las actividades. Y evolucionan rapidísimamente. Cada ola de cambio supone cambios de paradigmas, así que la primera característica que debe tener un teleco, tanto si se quiere dedicar a la ciberseguridad como si no, es la capacidad de adaptación al cambio. Debe tener una gran capacidad de olvidar lo aprendido y volver a empezar de cero con ideas nuevas. Y en eso los telecos destacamos.

Disponibilidad
Cuando Amazon en 2006 decidió compartir su infraestructura y creó Amazon Web Services (AWS) supuso uno de estos cambios de paradigma: la nube. Hoy en día los emails del BBVA están en Gmail, y empresas como Netflix o Secuware dependen de AWS para operar. Sabemos que todo va a fallar antes o después. Tu misión como ingeniero tiene que ser el diseño de sistemas con capacidad de reacción automática ante los fallos. Ninguna empresa puede permitirse una interrupción de su operación. En ocasiones es un fallo, en otras hay que evitar morir de éxito. Internet permite tener crecimientos exponenciales de usuarios, y si no has diseñado sistemas que puedan escalar desde un usuario a cientos de millones, tu empresa va a perder la única oportunidad de competir globalmente. No pienses en un programa que corre en tu ordenador, piensa en una función Lambda que va a funcionar en todos los millones de ordenadores de AWS que se necesiten para atender a cualquier número de usuarios. Las primeras cinco millones de veces que se use la función son gratuitas. Si es algo mas complejo puedes utilizar contenedores (Dockers, Kubernetes), o máquinas completas. Solo pagarás por lo que uses.

La primera característica que debe tener un teleco, tanto si se quiere dedicar a la ciberseguridad como si no, es la capacidad de adaptación al cambio

Por si los fallos y errores no fueran suficientes, además hay atacantes. Indiscriminados y dirigidos, virus, troyanos o delincuentes, con motivaciones diferentes. Constantemente buscando agujeros de seguridad no conocidos que puedan utilizar. Y, si no actualizas tus sistemas, aprovechando errores de seguridad ya conocidos. Aplica siempre el primer paradigma del ingeniero: ‘diseñar en el caso peor’. Todo va a fallar. Tu misión es que tu organización pueda sobrevivir al fallo. Así que no pienses solo en la disponibilidad de los sistemas, piensa en la tuya. Vas a ser un bombero a partir de ahora. Disponible 24/7. Como cuando tenías que prepararte para un examen de teleco. Pero esto es para el resto de tu vida profesional. Bienvenido a la emoción del cambio.

Resiliencia
He estado en incidentes que han durado semanas, teniendo organizaciones muy grandes paradas. Y no estaban preparadas para ello. Los nervios crispados. Ante el dicho en seguridad que dice ‘si no falla ¿para qué te necesitamos?, y si falla ¿para qué te necesitamos?’ habría que decir ‘si tiene solución ¿por qué te preocupas?, y si no tiene solución ¿por qué te preocupas?’. Ensáyalo en el espejo, igual puedes evitar algún infarto a alguien. Cuando un ransomware te extorsiona, ¿vas a pagar para que te den la clave de cifrado?

Tu misión como ingeniero tiene que ser el diseño de sistemas con capacidad de reacción automática ante los fallos

Integridad
Cada vez que aparece un hacker en una película puede parecer que es más divertido estar en el lado del mal. A mitad de julio de 2020 unos delincuentes consiguieron aprovecharse de empleados poco formados de Twitter y usar las cuentas de Bill Gates, Jeff Bezos, Elon Musk y Barack Obama para obtener unos pocos bitcoins. En 15 días eran detenidos. Es incorrecto creer que el anonimato permite hacer crímenes perfectos en internet. Es más fácil pillar a los delincuentes en la red que en el mundo físico. Mejor no lo intentes. No es un juego, es un delito. Y muy grave en algunos países.

Confidencialidad
Hay personas cuyo ego les obliga a presumir. Las redes sociales han creado un mundo donde la apariencia es más importante que el fondo. Y casi todos estamos en alguna red social. Cualquier información que compartas debilita tu seguridad. Yo nunca he usado WhatsApp, ni apenas servicios de Google, por ejemplo. ¿Has leído los términos y condiciones de todos los servicios que usas? Uber te avisa de que almacena, usa y comparte durante un mínimo de siete años (después de que cierres tu cuenta) todos los datos de localización y transacciones económicas que has hecho. Esto tiene un impacto directo en la seguridad física de los directivos de tu empresa y sus familias. Los ingenieros menores de 25 tenéis que saber que desde hace 200.000 años hasta hace 15 años el mundo funcionó sin redes sociales. Donald Trump acusaba a Tik Tok de ser una herramienta de espionaje de China. Si un ordenador o un móvil está conectado al menos una vez a internet ya estás irradiando información. Cada app, cada servicio de internet que te parece gratuito, gana dinero explotando tu información. Tú eres el producto. Una empresa europea nunca podrá competir con una americana si la información sensible como una posible adquisición o los planes sobre un nuevo producto llegan a su competidora americana. La inteligencia corporativa es imprescindible en este mundo globalizado. Vas a tener que decidir entre no usar la tecnología o no tener secretos.

Privacidad
Otra novedad de este julio ha sido la decisión del Tribunal Europeo de derribar el ‘Escudo de Privacidad’ por el que se transferían datos de ciudadanos europeos a EE.UU. Ya pasó en 2015 con su antecesor ‘Safe Harbour’. Muchos dicen que, como no hacen nada malo, no les importa que violen su privacidad. Creo que no tienen una visión a largo plazo. Imagina que tú eres una caja negra y tu móvil otra. Cada vez más, tus interacciones con el mundo se realizan desde tu móvil. Si tu móvil registra y aprende todas las interacciones que haces con él, un sistema de Inteligencia Artificial podrá acabar haciendo lo mismo que tú. Le has dado la información sobre lo que haces, lo que sabes, cómo tomas tus decisiones… Muchas personas no dejarían su móvil a su pareja. Y no se dan cuenta de que han compartido con empresas su información más íntima.

Cualquier información que compartas debilita tu seguridad. Yo nunca he usado WhatsApp, ni apenas servicios de Google

Fuera de la caja
Lo que importa no es lo que está en este artículo. Lo que importa es todo lo que está fuera de este artículo. A ti como teleco te sorprenderá solo un poco. Deep Fakes que pueden simular un vídeo de cualquier político diciendo cualquier cosa. El director de una empresa pidiendo a su director financiero que haga una transferencia en una videoconferencia que era un sistema de Deep Learning simulando al director. Más vale que empieces a establecer mecanismos de control para asegurar que te comunicas con personas reales. Por eso te decía: olvida todo lo anterior.

Vas a tener que aprender cada día si quieres dedicarte a la ciberseguridad. Es como la pesadilla que todos tuvimos de no haber terminado la carrera porque nos faltaba una asignatura. Te recomiendo que te suscribas a la lista ‘Una al día’ para ver qué problemas de seguridad aparecen cada día.

Dentro del horno
No puedo acabar este artículo sin mencionar el calentamiento global. En el corto plazo vas a tener que adaptar tu organización a sus efectos. No hablo de 100 años, hablo de menos de diez. La pandemia del SARS-CoV2 ha mostrado el crecimiento exponencial de un virus a personas que tenían solo experiencia sobre comportamientos lineales (te recomiendo una conferencia sobre el problema: ‘La hipótesis Greenblood’). El ser humano solo genera el 5% del CO2 en la atmósfera. Ni siquiera lo entendemos. En mi opinión sólo los microorganismos pueden haber provocado el cambio exponencial desde 2013. Vas a tener que afrontar sus efectos porque hay poco o nada que podamos hacer para frenar o revertir el proceso.

Pero tú eres teleco
Has sido formado para adaptarte, aprender más rápido, diseñar en el caso peor, a no tocar lo que funciona, actuar solo sobre el punto concreto de fallo y preguntarte todos los días cómo mejorar. Y has tenido compañeros con ese mismo perfil. No se me ocurren profesionales mejor preparados para hacer frente a un mundo cada día más complejo. No confíes en cajas negras. La seguridad se rompe en el punto más débil. Y el punto más débil suele ser el empleado interno: no hace falta ni tecnología, sólo psicología. Vas a tener que aprender sobre ingeniería social. Si puedes, que los emails se reciban solo en móviles. Que los ordenadores estén en la nube. Añade una capa de cifrado a todo siempre, pero tenbajo control las claves de cifrado (lo importante en el cifrado es la generación de las claves). Si puedes, iOS mejor que Android. Las decisiones importantes, mirando a los ojos de las personas. Y no te fíes ni de ti mismo.