Jesús Pacheco, Product Manager: “Se puede tener el mejor sistema de seguridad, pero un error puede ponerlo todo en riesgo”
El ciberespacio está lleno de piratas informáticos que intentan explotar empresas e individuos. Y no es ningún secreto que la mayoría de los incidentes cibernéticos ocurren debido a un error humano.
Hay varias amenazas a las que se pueden enfrentar las empresas, incluidos los ataques de ransomware, el fraude o las filtraciones de datos. A menudo, los ataques tienen éxito debido a errores tales como contraseñas débiles, datos sin cifrar u otros. Es por eso que las medidas de seguridad cibernética y la conciencia deben ser algunas de las principales prioridades para cualquier empresa.
Existen varias soluciones para la protección cibernética que las organizaciones pueden utilizar, algunas de ellas son herramientas antifraude o servicios de capacitación para empleados.
Para analizar las tendencias, amenazas y soluciones de ciberseguridad, la web de noticias sobre ciberseguridad, Cybernews, se ha puesto en contacto con Jesús Pacheco, Product Manager en Hispasec, para resolver y aclarar varios aspectos sobre esto.
Cuéntanos cómo empezó todo. ¿Cómo ha sido el viaje desde que comenzasteis hace más de dos décadas?
Todo se remonta a 1998, donde 4 amigos apasionados de la seguridad informática deciden crear un blog en el que publicar todos los días una noticia relacionada con un incidente de ciberseguridad, así nació unaaldia.es y aunque actualmente puede parecer algo fácil ya que se producen multitud de incidentes a diario, en aquella ahora lejana época era a veces realmente difícil encontrar incidentes dignos de mención. Esta idea fue la primera pieza de la maquinaria que levantaría Hispasec, la empresa que hoy conocemos, pionera en España en el mundo de la ciberseguridad, con proyectos punteros usados en todo el mundo y un equipo de profesionales y jóvenes promesas con mucho futuro por delante. Como ejemplo de ello puedo mencionar el conocido proyecto “VirusTotal” de Google, que nació precisamente entre las paredes de Hispasec. Con esto podéis imaginar sin lugar a dudas que el viaje ha sido interesante, con vivencias enriquecedoras y lecciones muy valiosas que han forjado el núcleo de Hispasec.
¿Podrías contarnos a qué te dedicas? ¿Cuáles son los principales problemas a los que te enfrentas?
Actualmente ejerzo como Product Manager, intervengo en todo el proceso de creación de producto, desde que es una idea o un esbozo en una pizarra hasta su materialización y uso por los clientes, pasando por el proceso de análisis, desarrollo, comercialización y postventa. Garantizar la calidad del servicio y la satisfacción del cliente es mi prioridad. Para ello tengo la gran suerte de contar con los mejores profesionales en todos los departamentos involucrados, sin ellos mi trabajo simplemente no tendría sentido. Tampoco puedo olvidar el enorme trabajo de la dirección de Hispasec que nos proporciona todas las herramientas y comodidades que podamos necesitar.
¿Cuáles son los cambios más significativos que has presenciado a lo largo de los años en la industria de la ciberseguridad?
Desde los inicios de Hispasec hasta el día de hoy han ocurrido cambios muy significativos en lo que refiere a todos los ámbitos de la tecnología informática, a su vez esto ha derivado en la aparición de nuevas vulnerabilidades, amenazas y estafas que ha obligado al mercado a darle a la ciberseguridad la importancia que realmente tiene y esto se ha traducido en la creación de soluciones y equipos multidisciplinares especializados en seguridad informática tanto en la defensa como en el ataque. El que ahora todo esté conectado aumenta la superficie de exposición ante los peligros que cada día son más sofisticados elaborados por bandas organizadas dedicadas al cibercrimen. Pero tengo que puntualizar que hay algo que casi no ha cambiado en todo este tiempo y es la poca concienciación o formación en ciberseguridad que tienen las personas en general, los usuarios de toda esta tecnología siguen en su mayoría sumidos en la oscuridad en lo que a ciberseguridad comprende. Aunque parece que en los últimos meses esto ha empezado a cambiar más rápidamente.
¿Cómo crees que ha afectado la pandemia a la forma en que la ciberseguridad se acerca a las personas?
La pandemia ha sido un acelerante en este aspecto, la obligación de teletrabajar ha dejado patente el gran desconocimiento en ciberseguridad por parte de la mayoría de empresas y ha sido muy evidente por el gran número de incidentes que se ha sucedido en muy poco tiempo en su mayoría provocados por ransomware. Ante este aluvión de incidentes, tanto empresas como trabajadores han sido conscientes de la problemática y se han puesto manos a la obra para minimizar las consecuencias. Esto es un gran paso aunque todavía queda mucho camino que andar, sin olvidar que los cibercriminales también siguen perfeccionándose como si esto se tratara de una carrera armamentística entre ellos y nosotros, los profesionales de seguridad informática.
¿Qué tipo de ciberataques son prominentes hoy en día? ¿A qué tipo de señales de advertencia deben estar las empresas atentas antes de que sea demasiado tarde?
Es evidente que la mayor parte del pastel se la llevan los malwares bancarios para dispositivos móviles, el ransomware junto con la exfiltración de información confidencial y las campañas de phishing y suplantación de marca entre otros. Un buen sistema de vigilancia proactiva 24/7 es indispensable para paliar o minimizar todos estos peligros, de ahí la importancia para las empresas y organizaciones el contar con servicios como los ofrecidos por Hispasec. Puedo destacar por ejemplo el caso de la mayor campaña de fraude descubierta en 2021 gracias al equipo de Hispasec, la campaña de fraude conocida como “Anniversary”. En el siguiente enlace se puede ver un corto vídeo explicativo acerca de la misma:
Además de garantizar la seguridad, Hispasec también proporciona formación sobre la ciberseguridad. ¿Qué técnicas utilizáis para conseguir que sea un material interesante y fácil de entender?
En este punto quiero volver de nuevo la mirada al equipo de Hispasec, en concreto al departamento de formación, compuesto por especialistas e investigadores con amplia experiencia en el ámbito educativo universitario. Su experiencia y el conocimiento de las necesidades e inquietudes de los alumnos los capacitan para elaborar cursos, seminarios y talleres gamificados que logran mantener el interés de los alumnos en todo momento y adecuados siempre al nivel de los participantes. El uso de casos prácticos reales en los mismos es también un incentivo que llama mucho la atención de los usuarios.
La creación de un sistema de ciberseguridad suele ser un proceso complejo y que requiere de mucho tiempo. ¿Qué detalles crees que las empresas suelen pasar por alto?
Siempre pasan por alto la ley de Murphy, hahaha. Hablando ahora en serio, lo que más suelen descuidar es precisamente la parte en la que los sistemas recaen en la responsabilidad directa del usuario. Políticas fuertes de contraseñas, hábitos seguros a la hora de navegar o compartir información como el cifrado, uso de VPN, etc. Nunca debemos olvidar que podemos tener el mejor sistema de seguridad del mundo y un simple despiste del administrador del mismo puede poner en riesgo absolutamente todo.
En tu opinión, ¿qué tipo de medidas son imprescindibles hoy en día? ¿Cuáles son más adecuadas para empresas y cuáles para un usuario medio de Internet?
Evidentemente la primera medida y la más importante es la formación del usuario, no olvidemos que más del 90% de las incidencias ocurridas en los últimos meses no habrían sido posibles sin la intervención de un usuario descuidado o inconsciente de las amenazas y engaños existentes. Adicionalmente a esto, el uso de aplicaciones antivirus, cortafuegos, sistemas de detección de nuevas amenazas, software DLP, sistemas de backup y la vigilancia activa 24/7 es ya algo fundamental en el ámbito empresarial y particular. Sin estos sistemas las empresas no deben preguntarse si “pueden ser hackeadas”, deberían preguntarse “cuándo van a ser hackeadas”.
¿Nos compartirías cual es el siguiente paso para Hispasec?
Puedo decir que hay muchos proyectos en marcha que en breve verán la luz y estoy seguro que no van a dejar indiferente a nadie. Me atrevería a decir que la próxima revolución en el campo de la ciberseguridad puede que vuelva de nuevo a forjarse entre las paredes de Hispasec, pero me debo ahora mismo al secreto profesional y no puedo contar mucho más, no me gusta hacer spoilers, pero veo un gran futuro.
Versión en inglés:
La entrada Jesús Pacheco, Product Manager: “Se puede tener el mejor sistema de seguridad, pero un error puede ponerlo todo en riesgo” se publicó primero en Una al Día.
Powered by WPeMatico