En un mundo digital donde las amenazas cibernéticas evolucionan constantemente, comprender los desafíos y las estrategias de defensa es fundamental. Por ese motivo, cuando Sophos nos ofreció hablar con John Shier, su CTO Field con más de tres décadas en el campo de la ciberseguridad, no quisimos dejar pasar la oportunidad.
Su trayectoria, que comenzó con una fascinación temprana por el hacking y con un sorprendente inicio académico en virología —pero la biológica—, lo ha llevado a un rol actual centrado en la consultoría y la anticipación de las futuras tendencias en seguridad digital.
A lo largo de la conversación, Shier aborda diversos aspectos relevantes. Pero si hay un tema recurrente es la inteligencia artificial (IA): desde su potencial para mejorar la seguridad hasta los riesgos de una adopción precipitada y su uso malintencionado por parte de los cibercriminales.
Como Shier advierte, es esencial entender el problema antes de “meter la IA a presión” en todos los procesos.
La entrevista también explora la evolución de las amenazas digitales hasta llegar a ser los sofisticados esquemas de monetización que actualmente son, con una creciente especialización del cibercrimen.
En cuanto a la protección, Shier ofrece recomendaciones prácticas para usuarios individuales, destacando la importancia de un gestor de contraseñas y la autenticación multifactor como medidas esenciales.
Esta conversación ofrece una valiosa perspectiva sobre el panorama actual y futuro de la ciberseguridad, guiada por la experiencia de un líder en el sector.
Empecemos por el principio: ¿qué hace un CTO Field en su día a día?
Hablamos con clientes y socios sobre los desafíos que intentan resolver y también sobre cómo utilizan nuestros productos y otros para solucionar sus problemas. Basándome en mi experiencia en la empresa y en mis 30 años en la industria de la seguridad, intentamos llegar a un acuerdo con algún consejo sobre las cosas que podrían considerar.
Un ejemplo. Muchas empresas están oyendo hablar de la IA o han oído hablar de la IA y piensan: “Bueno, necesitamos adoptar la IA ahora mismo, necesitamos ponerla en todos nuestros productos, en todos nuestros procesos, en nuestras operaciones”. Y mi trabajo sería entender qué están intentando hacer, qué problema intentan resolver y si es la IA la herramienta adecuada o no. Y, si lo es, veamos cómo lo hacemos. No se trata solo de meter la IA a presión en sus procesos, sino de ver si hay lugares donde podemos incorporarla y lugares donde no podemos. Y luego hablamos de esto, y como soy un experto en ciberseguridad, hablamos de la seguridad de eso y si eso plantea algún desafío adicional.
¿Por qué elegiste la ciberseguridad como área para desarrollar tu carrera laboral? ¿Qué es lo más apasionante de este sector?
Bueno, al principio, cuando era niño y empezaba a trastear con los ordenadores, como cualquier adolescente o preadolescente, empecé bastante pronto. Empecé a jugar con los ordenadores probablemente antes que mucha gente, porque tenía gente en mi familia, en mi círculo de amigos y familiares, que ya estaban metidos en eso. Pero la seguridad específicamente me interesaba por el hacking. Quería averiguar cómo entrar en las cosas y hacer que hicieran lo que no debían hacer. Así que eso fue lo que me interesó específicamente de la seguridad.
Y luego, cuando entré en la universidad, tomé un camino completamente diferente. Estudiaba ciencias y biología con la intención de dedicarme a la virología, el estudio de los virus. Y, antes de darme cuenta, volví a los ordenadores estudiando virus informáticos, o al menos trabajando con ellos. Así que ese fue el camino que tomé, lo que me interesó de la seguridad. Y luego, como has dicho, a medida que las cosas han cambiado y evolucionado a lo largo de los años, la seguridad —y voy a usar este término con mucho cuidado— era mucho más simple cuando empecé en comparación con lo que es hoy.
Si miras las cosas que tenías que hacer para estar seguro hace 30 años, no es lo mismo que hoy. Estar seguro significaba probablemente poner una contraseña a algo y eso era todo.
Podíamos poner ‘1, 2, 3, 4’ como contraseñas sin preocuparnos…
¡Exacto! [Ríe] Ahora, si observas la disciplina de la seguridad en su conjunto, hay tantos puestos de trabajo dentro de la seguridad que son solo subdisciplinas y subdisciplinas de subdisciplinas dentro de la seguridad.
Si tienes cierta edad en seguridad, has visto esta evolución desde el lado relativamente simple de las cosas hasta el más complejo. Y, obviamente, la gente que entra hoy en día se adentra en este mundo masivo de complejidad y va a seguir evolucionando y también van a ver una evolución. Pero creo que hemos visto un salto bastante grande en términos de dónde empecé a dónde está ahora, e incluso antes de mí hubo algunos saltos bastante grandes también.
Así que sí, eso es lo que me atrajo de la seguridad. Y lo que me mantiene en la seguridad es que es una parte muy importante de hacer negocios y que creo que hemos dado un giro donde la gente ahora entiende lo relevante que es. Antes, cuando empecé, había que convencer a la gente.
¿Hay alguna iniciativa, proyecto o herramienta de Sophos que estés especialmente emocionado de compartir con nosotros?
Puedo hablar de cómo, en términos de los productos que estamos poniendo en manos de la gente, lo que realmente me entusiasma es la forma en que seguimos pensando en el usuario final. En este caso, el administrador no es el usuario final último, no es la persona que está en el portátil haciendo el trabajo de recursos humanos o finanzas, sino la persona que realmente va a utilizar la solución como administrador. Seguimos pensando en estas personas y en cómo podemos facilitarles la vida, dándoles una tecnología que funcione, con valores predeterminados que tengan sentido y cualquier ayuda que necesiten en el camino.
Y aquí volvemos a la IA. Hemos tenido IA en nuestros productos desde 2017 desde un punto de vista de detección y prevención, y ahora estamos desplegando la IA de diferentes maneras para facilitar la gestión. Para ayudar a la gente con resúmenes de casos y con las acciones que están disponibles o simplemente para ayudarles a entender estos ataques complejos. Y eso es algo que me entusiasma, esa prioridad y ese pensamiento en torno a la experiencia del usuario es realmente importante.
Los clientes y socios aprecian el hecho de que no es solo que les lancemos un conjunto de herramientas y luego nos vayamos. Seguimos invirtiendo y entendiendo sus necesidades.
Hablé con algunos CISO (Chief Information Security Officer) recientemente que literalmente me dijeron: “Mi equipo no tiene la experiencia en seguridad, por eso os pago a vosotros”. Su trabajo se centra más en la gestión de presupuestos y prioridades en torno a la tecnología, no en la seguridad. Así que aprecian mucho las herramientas que ponemos en sus manos y también agradecen y acogen mucho la ayuda que podemos proporcionar en el lado de los servicios.
¿Cómo describiría la evolución de las amenazas digitales en los últimos años?
Creo que una de las mayores diferencias, si observamos un arco de tiempo muy largo, durante muchos años, es la evolución de la molestia a la monetización. Al principio, la gente, cuando lanzaba estos virus, era solo porque podían y a veces se hacía por diversión o simplemente para molestar a la gente. Estoy pensando en los primeros tiempos de ‘Melissa’, ‘I love you’ y todos esos virus de entonces. A medida que avanzamos en el tiempo, hubo oportunidades para empezar a monetizar, a añadir incentivos financieros. Así que los virus se convirtieron en formas de propagar spam, que luego se utilizaban para vender toda clase de estafas y servicios. Y luego seguimos adelante y terminamos en el ransomware. Básicamente, tenemos ahora este esquema completo de monetización, este enorme ecosistema financiero en torno a las amenazas.
Ahora, además, tienes la especialización para comprometer la cadena de suministro. Creo que muchos más delincuentes, especialmente las organizaciones más capaces y con más recursos, van a buscar cómo comprometer una cadena de suministro para que, en lugar de obtener una víctima, obtengan muchas de una sola vez.
Y, por supuesto, la IA es lo más importante ahora mismo para cometer estafas a gran escala. Antes se requería que los humanos estuvieran realmente involucrados e interviniendo en la estafa de principio a fin. Ahora pueden usar la IA para generar correos electrónicos muy convincentes que parecen legítimos, los que recibes todos los días. Pueden hacer eso a gran escala en todos los idiomas posibles. Todavía no la estamos viendo aplicar para crear malware, para crear ransomware. Todavía no está ahí, pero sospecho que en algún momento veremos alguna aplicación exitosa de eso.
Si pueden aumentar la cantidad de víctimas que les llegan usando la IA a través del phishing, lo van a hacer.
¿Qué sectores están siendo más atacados actualmente y por qué?
La industria manufacturera suele ser uno de los sectores que es víctima de ransomware. La sanidad y la educación también están persistentemente en los primeros puestos.
Se trata de casos en los que hay mucha tecnología que no se puede proteger o es difícil hacerlo. En el caso del sector sanitario, por ejemplo, tienes ordenadores que usa el personal para consultar los historiales clínicos en los que no se pueden poner contraseñas largas y complejas con autenticación multifactor por razones obvias: si un paciente está en estado crítico necesitas acceder a la información rápido. No puedes tener esos bloqueos en el camino.
¿Y qué podemos hacer los humanos para protegernos?
Mi consejo suele ser este: desde tu propio ordenador, aunque normalmente no deberías tener que hacerlo, si usas Windows o Mac, asegúrate de que se actualizan automáticamente. Solo quieres asegurarte de que las actualizaciones sigan llegando. Si has desactivado eso, vuelve a activarlo. Tu navegador se ha estado actualizando solo durante unos 10 años y probablemente no te has dado cuenta.
Y luego, específicamente para usuarios e individuos, dos cosas: consigue un gestor de contraseñas y utiliza la autenticación multifactor.
Si utilizas un gestor de contraseñas, te permite crear una contraseña única para cada servicio que tienes y también te permite crear una contraseña larga y compleja. No tienes que recordarla, el gestor de contraseñas lo hará. El beneficio de esto es que si accidentalmente haces clic en un enlace de phishing que te pide la contraseña de tu banco, por ejemplo, tu gestor de contraseñas sabe la diferencia entre tu banco real y alguien que se está haciendo pasar por tu banco. No rellenará la contraseña en la página de phishing.
Y luego, si tienes servicios donde has reutilizado contraseñas o si, por ejemplo, has escrito la contraseña correcta en el lugar equivocado por accidente, la autenticación multifactor está ahí para respaldarte, porque ahora los delincuentes necesitan robarte otra pieza de información.
El último consejo es sencillo: cuando estés navegando por la web, cuando estés utilizando estos servicios, detente un minuto antes de hacer algo. Si algo parece demasiado bueno para ser verdad, probablemente lo sea. Esas ofertas masivas como el 90% de descuento en un Ferrari… probablemente no va a suceder. Si alguien te envía un correo electrónico de phishing diciendo: «Hemos bloqueado tu cuenta bancaria porque ha habido algunas anomalías», no respondas al correo electrónico. Detente. Piensa. ¿Qué necesito hacer? Necesito contactar con mi banco. ¿Cómo contacto con mi banco? Bueno, en el dorso de tu tarjeta hay un número al que puedes llamar, así que utilízalo en lugar del mecanismo de comunicación que te enviaron. Utiliza un mecanismo separado.
¿Cómo es posible que la gente siga cayendo en estas estafas con toda la información disponible que tenemos al respecto?
Parte de ello es que la gente tiene prisa, no se detiene a pensar y simplemente sigue adelante. Y es que antes, hace unos años, podías detectar un intento de phishing porque había algunas cosas que, en la mayoría de los casos, podías notar algo que no cuadraba. Los realmente buenos eran los que pasaban desapercibidos, los que engañaban a la gente. Ahora, yo diría que en la mayoría de los casos no podrás notar la diferencia. Todavía hay cosas de baja calidad, pero a medida que avanzamos en esta era del phishing con IA, no podrás distinguir la diferencia.
Creo que todavía para algunas personas, no para todas, pero para algunas, simplemente existe la sensación de que no van a recibir un correo electrónico de phishing, no van a ser atacados. ¿Por qué irían tras un individuo? Pero sabemos por estadísticas e historia que los ciberdelincuentes ganan mucho dinero con los individuos, potencialmente, especialmente si pueden engancharlos con el tipo de estafa adecuado.
Simplemente son atacados por un tipo diferente de ciberdelincuentes, no los que van a pedir un rescate a las empresas por decenas de millones de dólares.
Es difícil entrar en la psique de los usuarios y por qué caen en las estafas, pero como humanos, a veces tendemos a confiar en las cosas.
No hay una sola respuesta para esto. Hay millones de razones por las que la gente cae.
Volvamos a la inteligencia artificial. ¿Cómo pueden los buenos usar la IA para prevenir ataques?
En Sophos hemos estado utilizando la IA dentro de nuestros productos durante bastante tiempo, desde 2017, en diferentes contextos y de diferentes maneras. La hemos estado utilizando para la prevención y hemos construido muy lentamente más de 50 modelos diferentes de IA en nuestros productos que hacen cosas específicas muy, muy bien.
Cómo lo estamos haciendo ahora y en el futuro es, como mencioné antes, para mejorar las capacidades de las personas que utilizan nuestros productos, para que podamos facilitarles la toma de buenas decisiones basándose en lo que ven en sus redes.
¿Cuál es vuestro punto de vista sobre la privacidad?
En Sophos simplemente no capturamos ni guardamos cosas que no tenemos que guardar. No recopilamos información que no necesitamos recopilar. Y cuando tenemos que recopilar cierta información, la protegemos lo mejor que podemos y con tecnología actual.
Es decir: hacemos lo posible para no tener información, porque si no la tienes no puedes perderla. Y ese es el consejo para las organizaciones: si no tienen que recopilar la información, si no hay una necesidad comercial para ello, que no la recopilen. De esa manera, la privacidad de sus usuarios o la información de sus socios no estará en riesgo.
El problema es que muchas organizaciones que tienen productos piensan: «Bueno, si recopilamos toda esta información, ahora no tenemos un uso para ella, pero más adelante podríamos tenerla para fines de marketing o ventas». Aunque entiendo la intención y entiendo lo atractivo que es eso para una organización, simplemente están invitando a posibles problemas en el futuro.
En el lado del usuario final, es un poco lo mismo, pero al revés: no des información a menos que sea absolutamente necesario. Cuando hablas con tu banco, cuando hablas con tus compañías de servicios públicos, tienes que darles la información que necesitan. Cuando hablas o cuando te registras en servicios, como algunas redes sociales u otros servicios que simplemente no están sujetos a regulación y leyes, no tienes que dar tu fecha de nacimiento real. No tienes que dar la ciudad real en la que vives. Muchas veces no tienes que dar ni tu nombre real.
Un ejemplo que solía dar hace mucho tiempo es que si te registras en la cafetería para la tarjeta de ‘obtén un café gratis en tu cumpleaños’ no tienes que darles tu cumpleaños real. Seguirás obteniendo tu café gratis cada año. Simplemente, no será en tu cumpleaños.
