Por Macarena Reyes Britos.
El experto en ciberseguridad Alan Mai destaca que, aunque la ciberseguridad parezca un tema complejo, existen medidas elementales y gratuitas que cualquier empresario o emprendedor puede implementar de inmediato. Sin embargo, para negocios que manejan datos sensibles o tienen una escala considerable, estos consejos básicos no sustituyen una consulta profesional que diseñe una estrategia integral de seguridad.
¿Cómo nació Bloka?
Soy uruguayo, tengo 36 años. Empecé en una compañía en Uruguay después de dar algunas vueltas, de tener una experiencia en Corea del Sur y en Tel Aviv, lugares insólitos para ir a vivir.
Volví a Uruguay y era partner de un fabricante de tecnología de ciberseguridad. Hasta ese momento nunca había estado en la industria de la ciberseguridad. Desde chico estoy vinculado a la tecnología: a los 13 años armaba máquinas, clones y hasta les vendía clones a mis compañeros de clase, pero nunca había tenido una experiencia en ciber.
Sí entendía del ciber porque, por un episodio de inseguridad que sufrió mi padre cuando yo tenía 14 años— le pegaron tres tiros, por suerte sobrevivió—, eso me marcó en cuestiones vinculadas a la justicia. Armé un sistema de seguridad física con cámaras, pero nunca con ciberseguridad.
Cuando ingresé a esta empresa, me sirvió para entender que en el mundo de la ciberseguridad hay una analogía superdirecta entre la seguridad física y la digital, y de alguna manera me facilitó el trabajo.
¿Cómo fue el nacimiento de Bloka en Argentina?
Me caso con una argentina, me voy a vivir a Argentina y mi jefe de ese entonces, que es uno de mis principales mentores, me ofrece ser socios para abrir la primera filial de la compañía en Argentina.
Abrimos la filial ahí y, un par de años después, por la pandemia-que tuvo un impacto muy grande en lo que tiene que ver con ciberseguridad-, tuvimos una diferencia y terminó comprando el 70% de las acciones de esta compañía, que no eran mías, sino de mi exjefe. Pasamos a llamarnos Bloka y podemos decir que la empresa nace en Argentina.
¿Cómo se manejó la expansión inicial de la empresa?
Al poco tiempo, justamente por la pandemia, me volví a Uruguay; el encierro en Buenos Aires había sido devastador y en mi país no había pasado nada. Para evitar competir con mi ex socio, abrí la operación de la compañía en Uruguay.
Todo era remoto porque la gente que teníamos en ese momento estaba desde Argentina. Desde Uruguay veía que no podía hacer mucho, entonces empecé a viajar a Paraguay, donde abrí mercado ahí también, y un par de años después decidimos con mi familia radicarnos en Madrid. Por una cuestión de vida, pero también porque había posibilidades de desarrollar el negocio acá. Primero vine yo solo, después vino nuestro Chief Financial Officer.
¿A qué se dedican?
Lo que hacemos es ser el equipo de ciberseguridad que las compañías en general no tienen. Nosotros venimos del palo de las operaciones; a este tipo de empresa como la nuestra se la conoce como MSSP, que quiere decir “proveedor de servicios gestionados en ciberseguridad”.
¿Cuántas personas integran el equipo y de dónde son?
Somos un total de 25 personas repartidas entre Argentina, España, Pakistán; con eso podemos garantizar lo que llamamos en nuestra industria un “follow the sun”, un servicio que siga el sol en todos los husos horarios, porque nuestras operaciones son 24×7.
Y tenemos clientes en países de Latinoamérica: México, Ecuador, Colombia, Perú, Chile, Argentina, Paraguay, etc. Por suerte, estamos creciendo y nos está yendo muy bien.
Y referido a la pandemia, ¿por qué decís que los ayudó?
Hace casi 15 años que estoy en ciberseguridad y creo que no hubo otro punto de inflexión tan relevante como el de la pandemia en términos de impacto. Por un lado, la aceleración de la transformación digital por la cuestión de la virtualidad, lo remoto y las necesidades de aislamiento.
Toda la historia hizo que muchísimas empresas, por una cuestión de subsistencia, hicieran cosas y tomaran decisiones en ese sentido. Había empresas que no estaban digitalizadas y de pronto estaban los ladrones ahí mirándolas.
¿Y la democratización del acceso a las criptomonedas?
El otro factor crucial fue ese, la venta y la posibilidad de adquirir cripto. No soy ningún detractor de las cripto, pero también, como muchísimas tecnologías buenas, tienen un montón de cosas malas.
Han permitido mantener un nivel de anonimato brutal para aquel que secuestra un activo digital y pide un rescate a cambio. Le permite un nivel de impunidad, que es exponencialmente superior al del ladrón que tiene que ir a robar. Ser ladrón es un poco complicado y ahora ser cibercriminal es muy fácil.
Por lo mencionado, se ha generado una ola de creación que llamamos “actores de amenazas”, que son grupos terroristas conocidos como hackers, que operan en infraestructuras supersofisticadas con un poder de fuego brutal e hicieron que el cibercrimen a nivel global mueva más dinero que el narcotráfico.
Cada día se conocen más ataques de ciberseguridad…
Hoy estuve involucrado en una compañía que puede dejar de operar porque no están pudiendo recuperar la información que les robaron, con 400 empleados y 28 millones de facturación al año, clientes top. En algunos casos, capaz los rescates no son cifras millonarias, pero son cifras que duelen, o sea, que generan impacto.
¿Por qué pagar un rescate no garantiza recuperar la información?
Muchas veces no te van a devolver nada, están negociando con terroristas y no hay ningún tipo de garantía. Esa información en general ya te la llevaron, o sea, no solo te la secuestran, sino que te la roban. En el sentido de que te hacen una copia o te la sacan, esa información la tienen ellos y, por lo tanto, después te amenazan si le pagas con exponerla y publicarla, si les pagas para que no la publiquen, puede ser que lo hagan igual.
Hoy tienen medios para mantener un nivel de anonimato que es brutal. Es muy difícil para las autoridades, las fuerzas del orden en general, seguir ese tipo de organización de seguridad criminal y actualmente siento que el empresario que está leyendo esto piensa que le va a pasar a Coca-Cola o a alguna compañía de un renombre brutal, lo que no es así.
¿Los ataques son dirigidos?
No lo son, sino que están buscando aquellas víctimas potenciales que tengan un común denominador: una vulnerabilidad determinada y poder afectar a la mayor cantidad de víctimas posibles.
De hecho, hemos tenido ataques donde, teniendo que negociar con el terrorista, no podía decirnos quién era la víctima; o sea, atacan tanto que no saben ni a quién. Entonces, depende de que vos le digas quién sos para poder ver si reevaluar el monto del pago del rescate.
¿Hay algún común denominador en los ataques?
Esto que voy a decir puede ser muy criticado por gente de mi industria, pero creo que el marketing en general se encargó de mostrarnos que la ciberseguridad tiene un nivel de sofisticación brutal, y es una cosa super difícil. La mayoría de los ataques se podrían haber evitado, si el empresario, que es el último responsable, el dueño de la compañía, el director, como le quiera llamar, hubiera tomado conciencia en el momento adecuado.
¿Por qué afirmas que los cibercriminales se aprovechan de elementos super elementales?
Porque hay muchos ataques que usan la explotación de vulnerabilidades antiguas, para las que hay una solución gratis. Como no hay ciclos de gestión de este tipo de activos, nadie lo hace.
Existen muchas formas nuevas, pero los que hacen estragos todavía están aprovechándose de cosas super elementales, no tienen idea de la exposición que tienen vía terceros. Son clientes de empresas que tienen datos suyos y a ese proveedor puede ser que también los ataquen y que no tengan el mismo nivel de seguridad.
Por los ataques a la cadena de suministros…
Exactamente, es lo que causa estragos a las compañías grandes. Hay que tener en cuenta: sí tienen presupuesto de ciberseguridad, talento interno especializado, nivel de madurez alto.
Cuando escuchamos que al banco “le pasó tal cosa”, en general no fue al banco, sino que fue a un proveedor del banco que tiene una relación de confianza establecida con los sistemas de la entidad bancaria y que por eso tienen acceso a información sensible.
El tema de la gestión de terceras partes es algo que está muy dejado de lado en las empresas en general.
¿Consideras que hay sectores más vulnerables que otros?
Hay olas de ataques por sector, eso sí lo hemos vivido, pero educación y salud fueron los principales. Lo cierto es que hoy la ciberseguridad debe ser de las cosas más transversales que hay en tecnología.
La panadería de “Don José” debe tener un Excel donde lleva las cuentas y demás, sí le roban el archivo seguro no sabe a quién le fio, ni cuánto a sus proveedores y tampoco va a saber cuánto producir mañana. Porque ese Excel es su sistema de gestión, su ERP (Planificación de Recursos Empresariales) y ahí tiene toda su información.
¿Cuánto incide la cultura organizacional en la prevención de un ataque?
Depende estrictamente de la cultura organizacional. La obligación del empresario, del dueño, del director, de vuelta —dependiendo del tipo de empresa y demás, como le queramos llamar—, es determinar y explicar cuál es su apetito de riesgo.
Es decir, cuál es su grado de tolerancia o aversión al riesgo en términos de ciberseguridad y estar al tanto de las consecuencias de esa decisión. En base a eso, va a tener que diseñar una estrategia que permita tener las medidas necesarias para poder alinearlas con tres apetitos de riesgo que defina.
Hay una estadística del Foro Económico Mundial que menciona los riesgos: polarización social, guerra, conflictos armados, etc., y en los riesgos a dos años aparecen los vinculados a cuestiones de ciberseguridad.
Es buen termómetro para determinar dos cosas: primero, si un empresario promedio está al tanto de ese tipo de riesgo, seguramente no; y segundo, que debería estarlo.
Referido a la IA puntualmente, ¿consideras que es una herramienta o puede ser también una amenaza? (siempre hablando de ciberseguridad).
Las amenazas en términos de las tecnologías y demás, siempre son las dos caras de la misma moneda. Es decir, todo lo que me facilita a mí, la IA también le facilita al atacante, es directamente proporcional.
La IA hoy está permitiendo automatizar ataques, relevar información de víctimas potenciales a una escala sin precedentes. Los que estamos de este lado del mostrador nos está ayudando mucho.
Estamos incrementando un montón de capacidades que antes requerían de un talento hiperespecializado, conocimientos avanzados en Python y cosas por el estilo para automatizar respuestas a ataques.
Hoy nadie tiene ni control ni conciencia de lo que la IA ya sabe de la compañía y eso expone a la compañía a un montón de aspectos que hoy no se están gestionando.
¿Qué consejo le darías a las empresas y también a emprendedores que necesitan proteger digitalmente sus negocios?
Para ciertos negocios es necesario consultar a un profesional, sobre todo en casos donde se manejan datos sensibles. El otro tiene que ver con una cosa que es gratis de hacer y requiere un poco de dedicación, pero identificar por dónde pueden entrar los ladrones.
No puedo empezar a diseñar una estrategia de seguridad sin saber qué es lo que quiero asegurar, aunque no haya seguridad 100%. Inventariar los activos es clave, saber qué tengo que proteger, todo eso es elemental, es gratis y se puede hacer.
La verificación en dos pasos es fundamental porque todas nuestras contraseñas se han filtrado de una forma u otra y se están vendiendo en la dark web. Otro consejo que viene asociado a esto es tener un gestor de contraseñas y utilizarlo para poder crear contraseñas únicas y complejas.
Tiene que ver con la extensión de 12 caracteres que combine mayúsculas, minúsculas, caracteres especiales, símbolos y números, y eso es imposible de poder hacerlo sin un gestor de contraseñas.
Por último, sentido común. Si yo no participo de un sorteo, no me voy a ganar nada. Si yo no hice un pedido, no va a haber un pedido retrasado. Si yo no compré algo, no va a haber un pago rechazado.
Ese tipo de cosas son las que se usan en general como pretexto para hacernos crear un sentido de urgencia, que nos haga hacer un clic, que nos lleve a un sitio de phishing donde demos nuestros datos.
