Entrevista a Fernando García Checa – Consejero delegado de Panda Security
La sorpresa del equipo directivo de una Administración Pública española fue mayúscula cuando, en la prueba de un nuevo software de ciberseguridad, detectaron que estaban siendo atacados en ese mismo momento por la administración pública de otro país. La anécdota (aquel suceso no llegó a conflicto diplomático) evidencia que cualquiera –ya sea un particular, una empresa o un gobierno- puede convertirse en el objetivo de un ciberataque y que éstos proceden de los lugares menos pensados.
La ciberseguridad ha dejado de ser un asunto de ámbito exclusivo de los departamentos de IT para convertirse en una prioridad del management de las compañías. Así lo constata el informe Global CEO Outlook y lo ratifica Fernando García Checa, consejero delegado de Panda Security, empresa española especializada en protección informática.
García Checa, ex director general de Bancaja, recibe en su despacho a Valores Digital en un día especial para la industria de la ciberseguridad. Avast, el mayor fabricante de antivirus del mundo, acaba de anunciar que compra a su máximo competidor, AVG, por 1.300 millones de dólares, dando lugar a un gigante de la ciberseguridad con cerca de 400 millones de clientes en todo el mundo. “Esta operación marca una tendencia de concentración en el mercado de antivirus dirigidos a particulares, donde los márgenes son pequeños y el tamaño importa mucho”, explica García Checa.
Pregunta.- ¿Cómo afecta esta operación a Panda Security?
Respuesta.- No nos afecta demasiado en la medida en que la operación la han llevado a cabo los dos primeros fabricantes del mundo y el resto quedamos más o menos en una situación similar. Estos dos fabricantes fueron los pioneros en lanzar antivirus gratuitos y lograron hacerse con una base de clientes enorme, apostando por lograr que un porcentaje de todos ellos les generase ingresos con la compra de productos Premium. Consiguieron cambiar el sector de antivirus de consumo, donde el 60% es gratuito. Es decir, los particulares quieren protección pero no están dispuestos a pagar por ella.
P.- ¿En qué mercado se está enfocando Panda Security?
R.- Panda fue una de las primeras compañías del mundo en entrar en un sector que entonces era muy incipiente, como es el de la ciberseguridad. Fue en 1990 y no estaba tan de moda como ahora. En aquel momento llegamos a ser la quinta compañía del mundo del sector. Inicialmente el negocio de la compañía estaba dividido a partes iguales en los negocios de Consumo y Corporate, los dos grandes segmentos del mundo de la ciberseguridad. Ahora somos 70% Corporate y 30% Consumo. En mercado de empresas la rentabilidad es claramente mayor que en el de Consumo, donde la mayoría del producto es free.
Actualmente Panda está presente en más de 80 países pero prácticamente la mayor parte de nuestro negocio se concentra en la UE, seguido de EEUU y Latinoamérica.
P.- ¿Cómo os puede afectar la decisión de Reino Unido de salir de la UE?
R.- Nos afecta principalmente por el tipo de cambio, ya que la depreciación de la libra perjudicará nuestra facturación en aquel país.
En términos organizativos, la filial británica es propiedad de Panda, así es que estaremos pendiente de cómo evolucionan las políticas comerciales para valorar el impacto jurídico que pueden tener en la gestión de nuestra subsidiaria. No obstante prevemos varias alternativas para abordar satisfactoriamente el posible marco legal resultante.
“Los particulares quieren protección pero no están dispuestos a pagar por ella”
P.- Es evidente que la ciberseguridad es una cuestión que preocupa cada vez más a las empresas y los particulares. ¿Es este el mejor momento para empresas especializadas en este ámbito?
En los últimos 30 o 35 años la vida personal y los negocios se han digitalizado. Cuando vas a una empresa toda la información y los procesos están digitalizados. Ahora todos basamos nuestro trabajo en un conjunto de programas que hacen algo. Además, hay otra serie de elementos que han contribuido al crecimiento del software: la comunicación entre dispositivos, los dispositivos móviles, el cloud y fenómenos más recientes que se nos vienen encima como el Internet de las Cosas y el auge de la inteligencia artificial.
Hay un conjunto de tendencias que han hecho que el crecimiento del software sea exponencial y en la medida en que eso ocurre, se necesita más protección. Es muy difícil garantizar al 100% que se está a salvo de un posible ciberataque pero debemos estar preparados con la mejor defensa posible.
P.- La tecnología avanza a una velocidad vertiginosa y lo que hoy es la última novedad pasado mañana se ha quedado obsoleto. ¿A quién beneficia más esta evolución constante, a las empresas de ciberseguridad o a los ciberdelincuentes?
R.- El avance tan rápido de la tecnología ha hecho mucho más complicada la defensa. El principal problema para la seguridad es que se está multiplicando exponencialmente el crecimiento del software y, al mismo tiempo, se multiplican los programas malware porque esta industria, contra lo que pueda parecer, está muy organizada y tiene como primer objetivo la obtención de beneficio económico
Además, algunas tendencias lo ponen aún más complicado: antes trabajábamos con ordenadores aislados y la única forma de entrar en ellos era o robando las claves de acceso o a través de un pen drive. Hoy, en la medida en que lo tienes conectado a la red, tienes abierta una puerta de entrada a posibles ciberataques.
El cambio más drástico que se está produciendo es que las técnicas de protección que se utilizaban en la industria de ciberseguridad –las listas negras (que detectan el malware) y las blancas (que identifican el goodware)- no sirven ya que la producción de programas se multiplica y estas listas se quedan obsoletas.
En ese contexto de continua evolución tecnológica, el ciberdelincuente siempre ha ido por delante y, con esos modelos de protección, las empresas solo podíamos arreglar los desarreglos que realizaban los atacantes. Pero la industria de la ciberseguridad también evoluciona y, por primera vez, podemos adelantarnos a sus movimientos y predecir comportamientos anómalos antes incluso de que ocurran. Este es un nuevo modelo de seguridad y Panda es uno de sus principales impulsores.
“Por primera vez, podemos adelantarnos a los movimientos de los ciberdelincuentes y predecir comportamientos anómalos antes incluso de que ocurran
P.- ¿En qué medida aparecen nuevas amenazas?
R.- En el último año el laboratorio de Panda ha recibido de media 250.000 muestras al día de programas que son malware nuevo. Esto te da una idea de cuál es el volumen de producción. Ante esa avalancha, los ratios que tenemos en el conjunto de la industria son que es las primeras 24 horas hay un 18% de malware que no se detecta. En los tres primeros días baja al 9% y, al cabo de tres meses, todavía sigue habiendo un 2% que no has conseguido poder bloquear. Eso significa que en un año existen más de dos millones de muestras de malware que no se ha conseguido identificar y bloquear.
P.- ¿Cómo definirías el cibercrimen?
R.- Es una industria delictiva, organizada y con gente competente, en la que hay roles perfectamente definidos: los que fabrican los programas de malware, quienes organizan un ataque, los especialistas en vender lo que se ha robado con el ataque, y los que blanquean el dinero obtenido de forma ilícita.
Al contrario de lo que se puede pensar, esta industria tiene como principal objetivo ganar dinero con sus ataques. El caso de Cryptolocker, un programa que secuestra los archivos del ordenador hasta que pagues un rescate, es muy descriptivo de esta industria: es un programa que ha ido dirigido a muchas empresas y que está obteniendo un beneficio de unos 15 millones de dólares al mes.
P.- ¿Hasta dónde llega el daño potencial que puede ocasionar un ciberataque?
R.- En la ciberdelincuencia la probabilidad de sufrir un ataque es muy alta y prácticamente podemos asegurar que a todo el mundo le ha pasado o le va a pasar. Aquí existe la ubicuidad y la multiplicación: se puede lanzar un ataque desde muchos sitios a la vez y atacar a tres millones de dispositivos simultáneamente. Eso no pasa en la delincuencia común.
Ahora estamos en un momento en que los ataques de la ciberdelincuencia afectan a nuestra información o nuestro patrimonio. Los ataques están dirigidos sobre todo al robo de datos o dinero pero tenemos que estar preparados a que nos puedan hackear el vehículo, la domótica de nuestra vivienda e incluso algunos dispositivos sanitarios. Si nos hackean los frenos del vehículo la cosa pasa a mayores, y si manipulan un marcapasos, la vida pasa a estar en las manos de quien lance ese ataque.
“La mayoría de los ciberataques se originan desde dentro de la propia empresa”
P.- ¿Cómo está Panda planteando las soluciones a estos posibles ataques?
R.- Somos de las empresas pioneras en introducir una nueva plataforma tecnológica para intentar resolver los problemas. Se llama Adaptive Defense y trabaja sobre principios y técnicas que no tienen nada que ver con las herramientas tradicionales basadas en listas blancas y negras. Lo que hace fundamentalmente es que cuando te llega un programa a tu dispositivo lo analiza en tiempo real y nos permite clasificar automáticamente con un 99,94% de acierto si ese programa es malware o goodware. Para lograrlo utilizamos técnicas de cloud y Data & Anlytics (D&A). Panda fue pionera en utilizar estas técnicas y el tiempo nos da una ventaja competitiva porque se necesita acumular mucha información y mucho conocimiento para poder analizarla y lograr que tus sistemas vayan mejorando y aprendiendo nuevos patrones de comportamiento. Estas son las razones que nos permiten afirmar que, más de un producto al uso, estamos ofreciendo un servicio y las ventajas que eso implica para el usuario.
P.- ¿De dónde proceden los ataques?
R.- Hay dos verdades en el mundo de la ciberdelincuencia que la gente suele desconocer. En muchas ocasiones el origen del ataque es desde dentro de la propia organización. De empleados, ex empleados, proveedores… es decir de gente que está en el mismo lado y que tiene acceso a la información y a los programas. Un caso paradigmático de este tipo de ataque fue la introducción de un virus en las centrales de enriquecimiento de uranio de Irán, que estuvieron cuatro años haciendo que el sistema no funcionase correctamente pero reportando información de que funcionaban bien.
La otra característica común es que cuando el ataque viene desde fuera, el objetivo fundamental tiene que ver con motivaciones económicas, robo de información (que después es utilizada en extorsiones y chantajes, como clave para pedir rescates o se vende al mejor postor), espionaje industrial y cuestiones geopolíticas y estratégicas.
R.- Creo que estamos avanzando. Antes los CEOs veían la ciberseguridad como un coste y ahora empiezan a ser conscientes de que la probabilidad de ser atacadas es alta y que supone riesgos para la empresa traducidos en pérdidas económicas, directas o indirectas. Ahora se calcula el impacto económico y por eso la sensibilidad está creciendo.
“Para que la ciberseguridad sea una prioridad en una empresa hay que concienciar que forma parte del proceso normal del trabajo de cualquier empleado”
P.-¿Y las organizaciones están cambiando la cultura de toma de decisiones relacionada con la ciberseguridad?
R.- Todavía no hay esa cultura. Para que la ciberseguridad sea una prioridad en una empresa hay que concienciar que forma parte del proceso normal del trabajo de cualquier empleado, que tiene que cumplir con unos cánones de ciberseguridad.
El otro problema es hasta qué punto los primeros ejecutivos, empezando por el consejo de administración, están concienciados y tienen conocimiento de estas cuestiones. La primera barrera que hay que romper es que la parte de IT sepa hacer comprender a la dirección la importancia de la ciberseguridad.
P.- ¿Hasta qué punto el sector público está más concienciado que el privado en esta materia?
R.- Creo que el sector público sí se está concienciando, pero no sabría precisar si va un paso por delante o por detrás del privado. En todo caso hay que distinguir entre tres niveles de Administración. En primer lugar, determinados organismos de inteligencia, que sí que tienen una conciencia clarísima desde hace mucho tiempo. En segundo lugar, las infraestructuras críticas, donde creo que queda camino por recorrer. Son el objetivo de cualquier ataque porque dando el golpe adecuado se origina un gran caos. El tercer nivel sería el de la información sensible y de valor que tiene la Administración, como los historiales médicos o los datos del ministerio de Hacienda. Creo que la tendencia es que hay una sensibilidad creciente en la Administración, impulsada en parte por las regulaciones internacionales en materia de privacidad y políticas de seguridad.
Deja un comentario