lunes, 30 de mayo de 2016

Alberto Hernández: "Lo primero es la protección de nuestros menores"

Alberto Hernández Moreno. Director de Operaciones de INCIBE



Cuando le pedimos esta entrevista, imaginábamos que la mochila que lleva Alberto Hernández Moreno, 42 años, Director de Operaciones del Instituto Nacional de Ciberseguridad (INCIBE), era pesada. Pero, al mirar más de cerca, supera nuestras expectativas. Alberto lleva toda la actividad operativa de una organización con un prespuesto anual de casi 21 millones de euros: "El CERTSI, los servicios de ciberseguridad para menores, familias, profesionales, empresas, etc., el desarrollo tecnológico, los propios sistemas de la compañía y todas aquellas iniciativas que llevamos a cabo para apoyar el desarrollo de la industria nacional, la promoción y gestión del talento, el apoyo a la I+D+i nacional e iniciativas como CyberCamp".

Madrileño de toda la vida, aunque parezca más bien del sur por su gracejo, vive desde hace dos años en León, donde disfruta de los paseos por la montaña. Da la impresión de ser un hombre tranquilo, medido en sus palabras como veremos en la entrevista y apasionado por su trabajo, como el niño que asoma aún en sus ojos, si os fijais en las fotos. Alberto estudió Ingeniería Superior en Telecomunicaciones en la Universidad Politécnica de Madrid. Quién le hubiese dicho que, 24 años después, estaría participando como experto en misiones de la Organización de Estados Americanos para temas de ciberseguridad, por poner solo un ejemplo.

- ¿Cómo te interesaste por la ciberseguridad?

- Mi primer contacto fue justo al salir de la universidad y comenzar una beca en INDRA, en el año 98. Entre los puestos a elegir había uno que decía “criptografía y PKI”. Por aquel entonces comenzaba el auge de las “punto com” y muchos de los ingenieros que salían de la universidad les interesaba trabajar en el desarrollo de portales web y en tecnologías asociadas a Internet. En mi caso, me interesó más trabajar en un tema que habíamos tratado por encima en la escuela de ingeniería y que se refería a la seguridad lógica.

- ¿Y cómo aprendiste seguridad? 

- Tuve la suerte de trabajar desde el primer momento en proyectos de seguridad lógica y de aprender de buenos profesionales que ya llevaban algunos años en este campo. Recuerdo algunos proyectos de despliegue de Infraestructuras de Clave Pública (PKI), firma digital y despliegue de medidas de seguridad sobre servicios en Internet.

- La mayor parte de tu vida profesional la has pasado en ISDEFE. ¡13 años! ¿Qué dan allí, que no te ibas?

- Mi paso a Isdefe se debió a que la empresa quería constituir un grupo de seguridad que apoyase al Ministerio de Defensa en el desarrollo de sus capacidades de ciberseguridad, o más bien sus capacidades INFOSEC (Information Security), que es como se denominaba la ciberseguridad en Defensa en aquel entonces. El proyecto era muy bonito, formar parte de un equipo que ayudase a impulsar la ciberseguridad en Defensa y que contaba con todo el apoyo de la Dirección de la empresa para proponer, innovar, invertir y, en definitiva, crecer en capacidades.

- En 13 años da para especializarse en algunas cosas.

- Durante los primeros años mi trabajo estaba asociado a la consultoría en aspectos muy  técnicos. Recuerdo preparar varias demostraciones de hacking a sistemas con objeto de concienciar a los decisores y, en especial, recuerdo una que hicimos en unas jornadas internacionales de terrorismo, en la que simulamos una infraestructura de suministro de energía eléctrica a la que, utilizando diferentes técnicas (análisis de tráfico, man in the middle, exploiting de una vulnerabilidad, etc.), conseguíamos modificar la integridad del servicio y hacerle una denegación de servicio. Para ello, recuerdo que me tuve que “caracterizar” como el típico hacker de entonces para que el mensaje llegase mejor.

- Jaja

- Con el paso del tiempo fuimos creciendo en el equipo y en las capacidades. Constituimos inicialmente un equipo de hacking ético y auditoría de sistemas clasificados y durante los últimos años diseñamos, desarrollamos y pusimos en marcha desde cero una plataforma de adiestramiento en ciberseguridad. Sobre ella realizamos durante cinco años seguidos los llamados Ejercicios de Ciberdefensa (ECD) de las Fuerzas Armadas, en los que podían participar de forma simultánea hasta cuarenta equipos de seguridad siguiendo escenarios de ataque y defensa. Ya en la primera edición del ECD contamos con una plataforma compuesta por más de 400 máquinas virtuales y escenarios totalmente independientes, algo que para aquel entonces era bastante adelanto, teniendo en cuenta que iniciativas parecidas en Israel o Estonia surgieron un poco después.

Con el paso del tiempo mi rol fue cambiando, pasando a ser en los últimos años el Jefe del Área de Ciberdefensa en Isdefe y por lo tanto un perfil más de gestor que técnico.

- Y, como colofón, estuviste en el equipo que dio a luz al Mando Conjunto de Ciberdefensa.

- Lo considero la culminación a esos trece años trabajando desde Isdefe para nuestras Fuerzas Armadas. Ya unos años antes de la creación del Mando trabajamos en el Estado Mayor de la Defensa, en un proyecto de constitución de lo que se denominaba la capacidad de Computer Network Operations (CNO) y que, básicamente, era dotar a nuestras Fuerzas Armadas de las capacidades de defensa, explotación y respuesta en el ciberespacio.

Durante la elaboración de la Estrategia de Ciberseguridad Nacional se analizó en Defensa cuál debería ser su papel y cómo se debía organizar. En ese momento rescatamos el proyecto de CNO y, tras mejorarlo y evolucionarlo, diseñamos lo que es hoy en día el Mando Conjunto de Ciberdefensa. Formar parte del equipo que trabajó en su diseño y puesta en marcha es para mí un orgullo y un broche final a un ciclo trabajando para Defensa.

- Al leer las noticias, últimamente de la impresión que de repente todas las infraestructuras críticas son inseguras y vamos a morir envenenados por el agua o algo así. ¿No estamos exagerando? 

- En esa percepción hay algo muy positivo y es que el mensaje está llegando a la sociedad y cada vez el ciudadano está más concienciado y ya no lo ve como algo de ciencia a ficción.

Si miramos nuestras estadísticas, el número de incidentes gestionados desde el CERT de Seguridad e Industria (CERTSI) durante 2015 ha alcanzado la cifra de 134, duplicando la cantidad del año anterior. Pero si hacemos memoria, nadie tendrá la sensación de que ha pasado algo grave que ha afectado a nuestra sociedad o economía. La conclusión fundamental es que sí tenemos unos niveles de ciberseguridad adecuados en nuestros operadores que hacen que, aunque puedan y vayan a ser atacados, el impacto sea mínimo. No obstante, debemos seguir trabajando para mantener y mejorar ese nivel de seguridad.

- Lo mismo para el otro "trending topic" en ciberseguridad: la Internet de las Cosas. ¿Es una amenaza tan amenazante como la pintan?

- Es una realidad que vamos hacia un mundo totalmente interconectado y aquí una de las claves es que todo lo que conectemos debe haber sido diseñado desde el principio teniendo en cuenta la ciberseguridad, algo que no siempre es así. Por ver el lado más positivo, este tema ya está encima de la mesa y no sólo se discute en los foros de ciberseguridad sino que ya se está incorporando a los de los fabricantes, aunque aún nos queda mucho por delante.

- Personalmente, me preocupa ver cómo los gobiernos destinan muchos recursos a ciberguerra y monitorización de la población, cuando este dinero debería servir para educar en ciberseguridad a esta misma y desprotegida población.

- Hace unos días un colega me decía que en toda la historia de la humanidad ha habido siempre gente mala, capaz de sacar lo peor del ser humano, y que siempre la habrá. Esto hace que para poder garantizar nuestras libertades y por lo tanto podamos vivir con tranquilidad con nuestras familias y amigos, desarrollarnos como personas, etc. debemos invertir en seguridad.

Pero además de invertir en seguridad, es muy importante hacerlo también en concienciación y en educación, pues es una inversión no sólo para el corto plazo sino para el futuro. Aquí todo lo que se haga siempre será poco.

- Si pudieras hacer una lista de prioridades en ciberseguridad en España, sin presiones, sólo desde tu fría mente técnica... ¿cuál sería esta lista?

- La primera que me viene a la mente es todo lo que tenga que ver con la protección de nuestros menores, su concienciación, la detección de cualquier tipo de  acción que les pueda afectar utilizando las nuevas tecnologías. Aunque estamos trabajando intensamente en este ámbito aún nos queda camino. Tras ello, la protección de aquello que pueda impactar de forma importante a nuestra sociedad, a nuestra economía o las propias vidas humanas, en definitiva, a la protección de nuestras infraestructuras críticas.

- Da la impresión que los gobiernos van un poco despistados cuando crean normas para el cibermundo. ¿Te parece normal querer ilegalizar la criptografía y declarar los 0days arma de guerra?

- Cada país está siguiendo sus propias estrategias y aunque en general compartimos a nivel internacional los mismos principios, los aspectos socioculturales hace que iniciativas que en unos países son aceptadas por su sociedad, en otros se vean de otra forma. Recuerdo un país al que visitamos hace poco que echó para atrás un proyecto de ley de obligación de retención de datos de tráfico en Internet por parte de los ISP, dado que la sociedad lo veía como una posible intromisión en su privacidad. En muchos países occidentales, como es el nuestro, sí aceptamos la retención de datos de estos datos por un período pues nos presenta un beneficio a la hora de investigar un ciberdelito.

- En pocos años hemos pasado de vivir en un mundo que parecía seguro a otro en el se atracan bancos con impunidad, la gente es estafada 10 veces más que antes, robar dinero a una empresa es tan sencillo como mandar un mail... ¿Será ya siempre así?

- Yo creo que siempre ha ocurrido eso, lo único es que ahora se utiliza un nuevo medio para hacerlo, que es el ciberespacio. ¿Qué ocurre con el ciberespacio? Pues que de momento con poca inversión puedo producir grandes impactos, es decir, tiene un carácter asimétrico, el tiempo no es un factor relevante pues las acciones son inmediatas y además proporciona anonimato.

- Última pregunta: La profesión de la ciberseguridad requiere estudio constante. ¿Cómo te actualizas tú?

- Me alegro mucho que me hagas esta pregunta. La verdad es que leo mucho, participo continuamente en diferentes foros y cuento además con un equipo de profesionales muy buenos de los que aprendo continuamente. Pero lo más importante es que mi posición es de Director de Operaciones y, en este caso, en lo que debo estar formado y capacitado es en dirigir. Y aquí es donde nos encontramos muchas veces con grandes problemas, puesto que hay en mi opinión una falsa creencia que dedicarse a la ciberseguridad es ser hacker y ocurre por desgracia en muchos casos que profesionales que tienen asignada la responsabilidad de gestionar un equipo lo que pueden estar haciendo es competir con sus técnicos a ver quién sabe más.

Quienes deben ser expertos, por ejemplo en reversing, son las personas de mi equipo que tienen esa función. Si yo intentase serlo me estaría equivocando completamente. Para que los proyectos salgan adelante, sigamos progresando, seamos más eficaces y eficientes debemos trabajar en equipo y cada uno debe asumir y ser experto en su puesto. Un gestor o un directivo debe ser eso y debe estar formado para eso, por mucho que “la cabra tire al monte” y aunque nos gusten mucho los temas técnicos no nos debe desviar de la misión.


Texto: Mercè Molist


0 comentarios:

Publicar un comentario