domingo, 21 de febrero de 2016

José de la Peña: "Prevenir ataques no justifica sobrevigilar a las personas"

José de la Peña Muñoz. Director de la revista "SIC".



Dice José de la Peña que no quiere quedar en esta entrevista como un abuelo cebolleta de la "ciberseguridad" (las comillas son suyas). La verdad es que, más que un abuelo, siempre nos ha parecido un señor, todo un señor muy bien conectado con lo más granado de la seguridad informática en España. Maestro del don de gentes y la discreción, a sus 56 años Pepe sabe mucho. Pero mucho, mucho.

Padre de dos hijos, aficionado a la física y la ciencia ficción, artista apasionado de la guitarra, Pepe de la Peña es un puro periodista forjado en la Universidad Computense de Madrid.
Dirige desde 1992 la revista "SIC", que nació llamándose "Seguridad Informática" y nunca ha dejado de ser un referente del negocio patrio. No hay empresa del sector que se precie que no la reciba por suscripción. Co-organiza, desde hace 26 años, el congreso Securmática, asociado a "SIC" y, como ella, referente para empresas, universidades y administraciones de este nuestro reino de la seguridad y privacidad informáticas, donde Pepe actúa de perfecto chambelán.


-¿Cómo aprende seguridad informática un periodista en 1992?

-Tuve que analizar los principios subyacentes a las TIC de forma casi autodidacta, su concreción práctica en los desarrollos de su industria productora y la aplicación que de ello se hacía en las organizaciones “usuarias”. No hay barreras para la curiosidad de un periodista con ganas de aprender que, además, siempre se aplicó –y se aplica– en escuchar a los que saben, lleven corbata o gorro de lana, sean directivos corporativos o autónomos, ingenieros o juristas, auditores o investigadores, profesores o alumnos, privados o públicos…

Aquellos eran tiempos del mainframe, de los primeros escarceos del cliente-servidor, de un incipiente uso de los servicios de Internet y del principio de la caída del “poder informático” en las empresas. Los proyectos no iban más allá del plan de contingencia informático provisional para siempre, de los antivirus primitivos, de los SAIs, del almacenamiento externo y del robo de listados. No había conciencia sectorial en lo que toca a la seguridad y hubo que empezar a crearla.

Cuando pocos años más tarde se mostraron con nitidez las líneas de futuro, dominadas por las relaciones en red, la globalización, el uso de TIC flexibles pero no pensadas para producir con razonables controles de seguridad, la necesidad de proteger la privacidad de las personas…, ya sabía algunas cosas sobre la materia. Aunque uno nunca deja de aprender.

-¿Qué piensa de los hackers?

-Sin contar con la actividad de las comunidades de hackeres no se entendería la seguridad TIC. Como en todo movimiento heterogéneo con base ideológica, los hay de la línea dura, de la blanda y de todo lo que media entre las dos. Veremos cómo van cambiando sus motivaciones en función de la transformación digital, de la rentabilidad social de sus acciones y de los cambios legislativos.    

Algunos tienen conocimientos exclusivos de vulnerabilidades técnicas, dominan el conocimiento lateral, saben encontrar patrones de comportamiento humano de forma intuitiva y pueden actuar con gran agilidad. Estos perfiles son muy demandados hoy por las consultoras, por los estados y por la delincuencia organizada.

El peligro más relevante que se cierne sobre el hackerismo es su institucionalización. Los distintos movimientos pop y rock del siglo XX, por ejemplo, ya pasaron por esto.

-En los foros se habla bastante del futuro reglamento de seguridad privada y de que habrá un carnet de hacker y no se podrá operar sin él. ¿Qué opinión le merece?

-La ley de Seguridad Privada prevé un desarrollo reglamentario de lo que denomina seguridad informática, a la que califica como una actividad compatible con la Seguridad Privada, aunque no forme parte de ella.

Los especialistas que pueden operar en el sector de la Seguridad Privada adquieren oficialmente sus conocimientos en unos cursos homologados por el ministerio del Interior. La formación que se les da en dichos cursos en materia de gestión de riesgos de seguridad de la información tratada en sistemas tecnológicos es pobre. No sirve.

En nuestro sector, aunque hay brillantes expertos hechos a sí mismos, la mayoría son titulados universitarios con experiencia en seguridad TIC, que es una disciplina que no dominan todos los profesionales de TIC generalistas.

Las actividades de ciberseguridad se reglamentarán en un futuro. Pero como en España se haga siguiendo el patrón de la reglamentación actual de la Seguridad Privada, nos quedaremos fuera del mundo.

-En Estados Unidos se habla mucho de cifrado y de Wassenaar o la conversión de algunos programas de seguridad en armas cuya exportación está regulada.

-Me temo que no se le pueden poner rejas metálicas al mundo digital. Las autoridades de control y los mecanismos que usan están enfermos de obsolescencia.

Las organizaciones y los países mejor preparados para poner en juego tecnologías avanzadas y protegerlas llevarán siempre ventaja en cualquier frente. Eso sí, el tiempo de vida útil de esas tecnologías será cada vez más pequeño.

Por otra parte, la disponibilidad de productos en Internet es ya tan completa, y su capacidad de actualización tan rápida, que lo de las exportaciones reguladas me da que solo sirve para que los innovadores se marchen de unos países limitadores a otros en donde las funcionalidades de sus creaciones no sean ilegales con independencia de los fines que tenga quien las vaya a usar.

-En un mundo donde los programas son armas y hay un mercado negro de las mismas imparable, donde los principales compradores son gobiernos... ¿Tiene miedo?

-Hay información sobre mi vida familiar y personal que procuro mantener reservada y lo menos digitalizada posible. Pero si alguien se empecina en hacerte la puñeta, lo conseguirá.

-En serio: ¿tiene miedo a ser espiado?

-Espiado, o en posibilidades de serlo, ya estoy. Lo que temo es que en alguna ocasión mi vida le resulte de interés a quienes me espíen o puedan espiarme.

-Leía el otro día alguien que decía, más o menos: Endiosamos a Snowden pero compartimos nuestra privacidad en Facebook. ¿Es para tirarse de los pelos?

-El comportamiento del anacoreta es raro. Los seres humanos queremos comunicar, compartir, discutir, disentir… Quienes utilicen esa información para dañar deben obtener, como respuesta social, no ya la indiferencia, sino el rechazo. Y si la utilizan de forma sibilina para colocarnos productos, pues la respuesta debería ser una caída estrepitosa de sus ventas.

Para que esto suceda debe imperar una privacidad que no es la de mi generación, sino la de los nativos digitales, personas más jóvenes que no se dejan influir por el volumen de mensajes y que saben detectar el intento de manipulación en ese medio. Y existen. Lo veo en mis hijos.

-Dicen que las IAs dominarán el mundo y nosotros seremos poco más que en Matrix. ¿Comparte tan apocalíptica visión?

-No; prefiero la utopía de Star Trek, en la que todas las energías de la especie humana se enfocan al descubrimiento de nuevos mundos y de nuevas civilizaciones en colaboración con Data, que es un ente formado por un hardware con forma externa humanoide en el que corre un algoritmo que aprende y que se sospecha que puede ser autoconsciente.

Por el momento, la transformación digital es tan primitiva que sigue creciendo el fraude masivo y algunos servicios públicos siguen yendo a pedales. Además, lo mismo un día se enfada el Sol y nos cuece los satélites.

Por eso, más nos vale seguir estudiando de memoria la tabla de multiplicar.

-Si fuese asesor del gobierno español en seguridad informática, ¿qué tres cosas que no se hacen recomendaría hacer?

-Huiría de los Comités y de los Consejos, por lo que nombraría a un Secretario de Estado que tuviera un plan, presupuesto y mando en plaza sobre todas las iniciativas gubernamentales en la materia, incluidas aquellas sometidas a secreto legal; crearía mecanismos para implantar de verdad lo dispuesto en el ENS, en paralelo a la realización de una modernización digital real de las Administraciones Públicas (central, autonómicas y locales); y pondría en práctica una política de discriminación positiva para potenciar la industria española sin vulnerar las leyes del mercado.

Y aquí paro porque solo me ha preguntado por tres.

-Sube el negocio de la ciberseguridad como la espuma, pero yo veo a los mejores hackers del país trabajando fuera o para empresas de fuera. 

-La sombra de las multinacionales del sector de oferta es larga, y quienes les contratan servicios son las grandes multinacionales usuarias, no las pymes. No obstante, hay muchos hackeres españoles trabajando en departamentos de seguridad TIC de firmas de origen español, ya en el sector de oferta ya en el de demanda.

También es cierto que los hackeres españoles –muchos consultores lo han sido y se siguen considerando como tales– son excelentes, y no me extraña que se los rifen.

Aquellos que han desarrollado herramientas tecnológicas propias y han querido abrirse camino en España se van, porque aquí nadie apuesta por ellos. Y encima la política industrial que practicamos fomenta que nuestros “emprendedores” vayan al otro lado del charco para que les compren fondos de inversión y sean estos los que se beneficien de lo que nos ha costado dinero y esfuerzo crear en España. Vivir para ver.

-¿Le gusta la palabreja "ciberseguridad"? 

-Es corta y suena lo suficientemente bien como para servir al propósito de vender la moto a los políticos, a los presidentes de consejos de administración y a los medios de información general (salvo excepciones).

No me extrañaría que en el éxtasis digital que vivimos algún osado para realzar el asunto consagre en un texto, por ejemplo, la ciberseguridad informática. Sería tan divertido como leer algo sobre derecho jurídico o fútbol futbolero.

- ¿Acabamos con una frase?

- La necesidad de prevenir ataques no debería usarse como justificación para sobrevigilar indiscriminadamente a las personas.


Texto: Mercè Molist


0 comentarios:

Publicar un comentario