Carles Flamerich (Apolo Cibersecurity): "La IA es 'tonta', pero la entrenan para atacarte"

Carles Flamerich es fundador de Apolo Cibersecurity y Light Eyes, dos de las firmas más punteras en seguridad digital en España. Antes, fue director general de Telecomunicaciones del Govern y presidió el tan comentado CTTI, el llamado cerebro digital de la Generalitat de Cataluña.

Esta semana ha sido el anfitrión de Beyond Cibersecurity, la jornada-encuentro líder en ciberseguridad en Cataluña. Ha atraído, con permiso de la gestión del conflicto de la Flotilla a Gaza, a altos expertos del sector privado y público.

¿Ustedes han organizado esta semana Beyond Cibersecurity, un foro sobre ciberseguridad e inteligencia artificial. ¿Por qué las empresas españolas, y en este caso las catalanas, tanto pymes como las de mayor tamaño, no están versadas en este campo?

Más que un congreso, han sido unas jornadas que han durado un día. También las repetiremos en Madrid en el mes de abril, y vendrán empresas tanto de Cataluña como de la capital. El objetivo era más que nada concienciar sobre la ciberseguridad.

Hay muchas empresas y pymes en España que no son conscientes de que el peligro de la ciberseguridad está presente. Cuando una empresa llega a nosotros,  Apolo, después de un ataque, ya llega comprometida porque ha perdido los datos y tiene sus sistemas también comprometidos. Muchas veces nos dicen: "Quiero recuperar mis datos", pero entonces tendrán que pagar porque es muy difícil. Al final, se necesita un antídoto para desencriptar esos datos.

Las causas pueden ser muchísimas; generalmente, personas han provocado que esos datos hayan sido comprometidos o encriptados. Los ciberdelincuentes entran de mil maneras posibles: a través de un phishing, un correo electrónico, una mala configuración o un error humano. Normalmente, es alguien de dentro que se ha equivocado o ha tenido un olvido, seguramente de buena fe, pero que paraliza la empresa.

Les llegan con la empresa parada y desesperados, pues.

Sí, sucede a menudo. El empresario llega diciendo: "Es que tengo la empresa parada y vienen los nervios". Nosotros explicamos que es mucho más barato y más fácil prevenir que curar. Si se implementan herramientas adecuadas, como filtros de mail, vigilancia y ciertas normas, esto no pasará. Nuestro trabajo es 50% técnica y 50% procedimientos, y es aquí donde sufren más las empresas. Frases como "Yo no voy a cambiar, lo he hecho así toda la vida" son comunes entre los clientes. Lo que más les cuesta es cambiar comportamientos y hábitos diarios, como usar contraseñas débiles tipo "Comercial01" en lugar de sistemas de contraseñas complejas.

España encabeza los ataques de 'ransomware'

El empresario catalán aún no está concienciado de la necesidad de protegerse en materia de ciberseguridad, como demuestran las famosas contraseñas "uno, dos, tres, cuatro", por ejemplo.

Sí, por supuesto. Existe una especie de karma extraño de que "a mí no me pasará". Esto es como una pandemia. Se trata de mafias y organizaciones internacionales que tienen roles específicos: unos rastrean, otros miran, otros atacan, otros cobran y otros mueven el dinero por todo el mundo. Es muy difícil rastrear ese dinero después, ya que puede moverse rápidamente de Londres a Singapur, por citar dos ciudades.

El empresario, tanto catalán como español, incluso desprecia que se le diga que no está preparado. Sin embargo, no estar preparado no es el problema, ya que el mundo está cambiando rápidamente. El mundo está cambiando tan rápido que Estados Unidos y China, que podrían estar enfrentados, se han puesto de acuerdo por TikTok hace una semana. Recuerde: los animales que sobreviven son los que se adaptan al cambio

Algunos le dirán que no pueden asumir el gasto, como es lógico.

Las pymes tienen que entender que la ciberseguridad no es un gasto, sino una inversión necesaria en su protección. Es comparable a tener que invertir en temas de medio ambiente. Un empresario llegó a decir: "Es que voy a suprimir la parte de ciberseguridad". Suprimir la ciberseguridad es como suprimir el agua o la corriente eléctrica; es una tontería y no se puede suprimir, sino que es una inversión necesaria hoy en día en cualquier tipo de industria.

Carles Flamerich de Apolo Cibersecurity SIMÓN SÁNCHEZ Barcelona

Usted ha citado la palabra 'malos', introduciendo el elemento de demanda. ¿Quién está practicando ataques informáticos? Por ejemplo, contra hospitales de la sanidad catalana o empresas de tamaño medio. ¿Quién lo está haciendo y con qué interés?

Son mafias internacionales que operan en todo el mundo, pero es evidente que últimamente hay un componente geoestratégico claro. Estamos en un mundo en conflicto, aunque la gente no sea consciente. Se están dirimiendo dos maneras de ver el mundo: el mundo occidental y otros mundos. Los conflictos actuales, ya sea en Oriente Próximo, Asia, el Sahel, Europa o Latinoamérica, involucran a mafias que obtienen mucho rendimiento del ataque.

¿Rendimiento?

Las tecnologías facilitan las estafas de siempre, pero ahora son mucho más rentables porque siempre hay alguien que cae y paga, lo que alimenta el ciclo. Si además de los intereses económicos, hay intereses geopolíticos importantes, la ecuación se completa. Estos ataques tienen una visión geopolítica, buscando poner en riesgo el sustento de la retaguardia del mundo occidental.

El sustento son las pymes, que ocupan el 98% de la ocupación en Europa. Por lo tanto, se debe incidir en empresas energéticas, transportes y salud. La educación es menos atacada. Los ámbitos clave del sostenimiento de una sociedad son los elementos más vulnerables a los ataques, ya que generan una sensación de caos que debe evitarse con la ciberseguridad.

Un ciberataque golpea la distribución sanitaria en Cataluña

Si una empresa de tamaño medio, por ejemplo, en Cataluña, con 150 millones de facturación hacia arriba, o incluso las grandes, de 1.000 millones, ¿cuántos intentos de intrusión puede tener al año, a la semana o al día?

No podemos revelar nombres de las empresas con las que trabajamos. Pero en el ejemplo de una empresa grande de ese tamaño, los intentos de ataques o incidentes suman un millón diarios, y subiendo. La cantidad se reduce dependiendo de los softwares y elementos técnicos que se tengan.

Un problema clave es que los intentos de ataque no son solo manuales, sino automáticos. Hay robots informáticos dedicados a buscar vulnerabilidades. Solo con conectarte a la red ya estás siendo atacado. El reto es cómo discriminar entre un millón o seis millones de ataques diarios --que ya se han visto--. Esto solo puede hacerse con software de inteligencia artificial (IA) que distingue cuáles provienen de máquinas y cuáles son muy dirigidos. La IA aprende cuáles son ataques dirigidos, dejando al final del año entre 50, 60 o 100 incidentes que se gestionan manualmente.

¿Todos los sectores están expuestos?

Una empresa que ofrezca servicios importantes a la sociedad, como una empresa de alimentación, puede ser objetivo de ataque. Por ejemplo, si una firma que importa y exporta frutas sufre una ruptura en la cadena de frío de sus cámaras, podría exportar fruta que esté contaminada, paralizando a toda una sociedad. Hoy en día, los ataques son cada vez más sofisticados, dirigidos y preparados. Las empresas de 100 a 1.000 millones de facturación pueden recibir millones de ataques diarios. Esto no es una exageración, porque es automático. Si un elemento automático encuentra el agujero, se lo comunica al ciberdelincuente, quien lo explota, consigue entrar, impone el ransomware, y pide el rescate.

Un instante del 'Beyond Cibersecurity' celebrado esta semana Cedida

¿Qué dos cosas básicas puede hacer un empleado u oficinista de a pie para contribuir a la seguridad global de su corporación?

El elemento más débil de la cadena es el trabajador o la persona, porque no piensa mil millones de veces por segundo como lo hace una máquina, y es muy fácil que caiga en una trampa. Por eso, una de las actividades que realizan es hacer phishings preparados, y la gente cae fácilmente en ese engaño.

¿Qué debe hacer el empleado? Ir con cuidado y no fiarse de correos electrónicos que solicitan pagar una factura a una cuenta distinta. El teléfono móvil sirve para llamar, no solo para correos y redes sociales. Si le envían una factura con un número de cuenta diferente, y el remitente no ha enviado el certificado de titularidad, lo que debe hacer es llamar a la persona --a Pepe-- y preguntar si ha cambiado el número de cuenta y solicitar el certificado. Uno de sus técnicos ha ido a un juicio por un caso así.

¿Y los falsos mails de, por ejemplo, Correos?

Aunque se pueden certificar los correos, es muy fácil mirar el origen del mail. Si le llega un correo diciendo que tiene un paquete esperando: nunca clique en el link. Si recibe un correo de Correos, Seur o del banco, vaya directamente a la web oficial y compruébelo allí. No clique en el link porque ahí está la trampa. Los principios básicos para el usuario son: llamar, comprobar y siempre desconfiar. Con estas simples operaciones ya se está muy protegido.

El Govern muscula la Agencia de Ciberseguridad de Cataluña

¿Qué le falta a Cataluña, a su tejido económico y a sus administraciones públicas, para poder operar con solvencia en un entorno tan agresivo como el que ha descrito?

Las grandes empresas y administraciones públicas ya están protegidas porque tienen la capacidad económica y organizativa, y gastan mucho dinero en ello. Sin embargo, lo que se reclamaría es mucha más concienciación y mucha más incidencia.

En los noticiarios de Cataluña, se echa en falta la información económica, industrial, técnica y tecnológica que sí tienen la CNN o la BBC en sus secciones. Aquí se habla mucho de cultura y teatro, lo cual está bien, pero debería existir también formación económica, tendencias estratégicas, información sobre materias primas, y cómo la tecnología y la IA están cambiando las maneras de trabajar y afectan a la seguridad. La ciberseguridad es un tema de seguridad y defensa, no olvidamos.

¿Qué hacer desde lo público?

Las administraciones públicas deberían explicar esto mucho más. También es necesario pedir a la ciudadanía que escuche lo que le dicen, en lugar de centrarse solo en las redes sociales. Es fundamental entender la realidad y adaptarse a ella, ya que es imposible que la realidad se adapte a nosotros. Hay que escuchar y aprender que estamos en un entorno cambiante y cada vez más peligroso.

Cuerpos polciiales en el Beyond Cibersecurity de Barcelona esta semana Cedida

Explíquenos cómo utilizan ustedes la inteligencia artificial (IA) y cómo la utiliza la 'otra parte' -los ciberdelincuentes-- para penetrar en una empresa.

Sería complejo entrar en el detalle de los algoritmos. Hay gente especializada que trabaja en los algoritmos de deducción, en cómo se entrena la IA para que aprenda, ya que no es una fórmula matemática única. Básicamente, la IA aprende de unos hechos y saca conclusiones. Hay que enseñarle, ya que la Inteligencia Artificial es tonta; son los humanos quienes le enseñamos. La IA es útil porque todo lo que sea automático y repetitivo, una máquina puede hacerlo mucho mejor que un ser humano.

Los ciberdelincuentes --los malos-- hacen lo mismo. Hoy en día, el acceso a la IA es posible para universidades, como La Salle, donde estamos, para empresas, o para los malos Estos delincuentes pueden comprar software y preparar su propia IA. Ambas partes hacen lo mismo: aprender de los hechos que entran por la red y tomar decisiones.

¿La IA es 'tonta' y la entrenan?

Se puede entrenar la IA para solucionar y parar ataques, o para encontrar agujeros y entrar. Por lo tanto, se está construyendo una batalla, una guerra de inteligencias que están luchando en la red. Este fenómeno explica el crecimiento en la utilización de data centers en todo el mundo y el aumento de consumo de energía, pues esto requiere mucha computación, funcionando "para bien y para mal".