"La transformación digital, la adopción de nueva tecnología y la IA no se pueden abordar sin una ciberseguridad sólida"
La ciberseguridad ha dejado de ser una cuestión exclusivamente tecnológica para convertirse en un elemento clave de la continuidad operativa, la competitividad y la transformación digital de las organizaciones. Con el objetivo de analizar cómo están evolucionando las amenazas, el impacto de la inteligencia artificial en la seguridad y los desafíos que ya plantea la computación cuántica, entrevistamos a Marc Sarrias, Country Manager para España y Portugal de Palo Alto Networks, una de las compañías de referencia a nivel mundial en ciberseguridad.
Tras casi 14 años en Palo Alto Networks, ¿qué te atrajo de la compañía y cómo ha evolucionado su papel en el mundo de la ciberseguridad? ¿Qué parte invisible de esa economía digital protegéis?
Lo que me atrajo en su momento fue la capacidad de esta compañía, que además se ha mantenido en el tiempo, de ser realmente disruptiva. Palo Alto Networks nació en 2005 y lanzó sus primeros productos en 2007. En 2009 desembarcó en Europa y en España, y yo me incorporé en el 2012. En esa época básicamente de lo que iba la ciberseguridad era de proteger el perímetro, la ‘muralla’, el ‘castillo’.
La compañía llegó al mercado diciendo que el firewall está roto y hay que resolverlo con innovación y con nueva tecnología. Desde entonces y hasta hoy ha abordado la ciberseguridad en su totalidad. Hemos pasado de proteger el perímetro a proteger la nube, el endpoint, a transformar las operaciones, a proteger la IA… Nos hemos convertido en un player global de ciberseguridad y, de hecho, somos la compañía independiente más importante del mundo.
Palo Alto Networks no deja de sorprenderme desde el punto de vista de que estamos intentando resolver un problema que es importante para la supervivencia de nuestra economía digital. Y en ese contexto, creo que siempre he visto dentro lo que yo llamaría una ‘causa justa’, es decir: lo que estamos haciendo es importante para la sociedad en general, importa a nuestros clientes y sobre todo a nosotros, que es intentar conseguir que cada día sea más seguro que el día anterior. Ese es un reto importante.
El público, en general, no suele conocernos porque no interactúa directamente con nosotros, pero evidentemente estamos detrás de las protecciones del mundo digital y del ámbito de muchísimas empresas, tanto en el sector público como en el privado. Nuestra tecnología está protegiendo muchísimas de las interacciones digitales que sustentan la interacción de la gente con los sistemas: banca, administración pública, retail… La mayor parte de las empresas con las que los usuarios de a pie interactúan cada día.
España está creciendo por encima de la media global de la compañía. ¿Qué está cambiando en el mercado español de la ciberseguridad?
Históricamente hemos estado presentes en España durante todos estos años y creo que estamos haciendo las cosas relativamente bien. En general, el mercado de la ciberseguridad ha ido entendiendo que la transformación digital, la adopción de nueva tecnología, la IA… Tienen un impacto grande y no se puede abordar sin una ciberseguridad sólida.
Llevamos muchos años construyendo y poniendo producto sobre producto para cada nueva necesidad y, en general el mercado, y el mercado en España en concreto, poco a poco ha ido evolucionando hacia la idea de que estos sistemas tan fraccionados no son sostenibles; no es posible conseguir el nivel de seguridad que uno quiere ni responder con la rapidez necesaria. Se está evolucionando hacia el concepto o la idea de plataformas de ciberseguridad que vienen a integrar muchas de estas piezas, a coserlas por detrás, a dar un sistema que es escalable, manejable y que puede crecer hacia el futuro incorporando nuevas funcionalidades sobre lo que ya existe.
¿Cuál es el nivel real de madurez de la ciberseguridad industrial en España?
La madurez que se ha conseguido en el ámbito IT está sirviendo de aprendizaje para el mundo OT y para los entornos industriales. Cuando la parte más industrial ha intentado abordar la ciberseguridad y responder a todas las necesidades que han ido apareciendo, se ha encontrado con una realidad evidente: no podemos repetir el mismo viaje que hicimos en IT porque no tenemos tiempo para hacerlo.
Las empresas industriales y las organizaciones de tamaño medio son conscientes de que no disponen de todos los recursos necesarios para abordar este problema de forma fraccionada como se hizo en el pasado. Por eso están mirando hacia adelante aprovechando los aprendizajes obtenidos en el mundo IT. Existe una conciencia creciente de que hay que simplificar, reducir el número de soluciones y entender que estamos intentando resolver un problema de negocio y no únicamente un problema tecnológico.
En un entorno donde IT y OT están cada vez más conectados, ¿qué riesgos siguen infravalorándose?
Bueno, yo creo que el nivel de interconexión a veces no se no se visualiza completamente porque hay un montón de conexiones, ya sea de proveedores externos, cadena de suministro, temas de mantenimiento remoto, sistemas de gestión inteligente de edificios... Todos ellos están realmente interconectados y cada uno de esos puntos de interconexión puede representar en un momento dado una puerta de entrada.
Si no tenemos una visibilidad completa de lo que supone el ecosistema entero es complicado. Los atacantes ahora mismo son capaces de operar a escala y con velocidad; son capaces de encontrar ese punto de entrada más débil y nos puede aparecer un ataque por una parte que no estamos protegiendo directamente nosotros. Hay que entender el contexto completo.
Cuando una organización industrial sufre un ciberataque, ¿qué marca hoy la diferencia entre resistir o paralizar la actividad?
Creo que las organizaciones son conscientes de que no pueden improvisar, de que tiene que haber una planificación por detrás. Si tenemos un problema, debemos saber cómo garantizar la continuidad de la operación, sobre todo en mundos industriales o de fabricación donde una parada de la cadena de producción puede tener unas consecuencias y unos costes altísimos.
Evidentemente es necesario planificar, hacer simulaciones y prepararse para esas situaciones que podrían paralizar parte del negocio. Es algo que las compañías están haciendo cada vez más, pues la improvisación ya no tiene cabida en este contexto.
La industria convive con sistemas heredados que no siempre pueden actualizarse. ¿Cómo se protege un entorno así?
Ahí es donde juega un papel importante una estrategia de segmentación adecuada, un principio de de ‘Zero Trust’, de cero confianza en las conexiones. Asegurar que quien se conecte a ese tipo de sistemas lo haga de forma controlada, desde entornos debidamente securizados y con el nivel de privilegios que necesita específicamente para realizar esa función. Y si es posible, además, un tiempo para ejecutar la intervención en la que se tiene permisos y la identidad adecuada. Cuando la intervención acaba, esos permisos se revocan adecuadamente. Este es el principio de Zero Trust y de segmentación.
Y en esa misma segmentación muchas veces también podemos hacer el parcheo virtual de los sistemas e impedir que vulnerabilidades que puedan tener, sean explotables por parte de un atacante.
¿Cómo está transformando la IA el equilibrio entre atacantes y defensores?
La IA realmente es un cambio de paradigma. Ya no es que estemos viendo ataques cada vez más sofisticados, sino que se producen cada vez a mayor velocidad y a una escala mayor. Los atacantes, utilizando la IA, son capaces de automatizar en gran medida ese reconocimiento inicial, entender dónde hay vulnerabilidades -ya sean severas o de severidad media o baja-, incluso son capaces de encadenar para conseguir su propósito, y armar un ataque en un tiempo muy corto.
En definitiva, pueden llegar a sistemas, escalar privilegios, moverse lateralmente y sacar datos en un entorno industrial hasta paralizar, como hablábamos antes, una producción. Esto antes ocurría en días o semanas, ahora en minutos.
Esto, desde el punto de vista del defensor, supone tener la capacidad de poder responder en esos tiempos, y para eso hay que abordar el problema con una aproximación distinta, donde la automatización y la IA puedan jugar a su favor.
Palo Alto Networks defiende la consolidación en plataformas frente a la proliferación de herramientas aisladas. ¿Por qué es tan difícil cambiar ese modelo?
Hemos ido construyendo la ciberseguridad a base de decisiones incrementales de añadir nuevas capas de tecnología a lo que ya teníamos porque ha aparecido un nuevo tipo de amenaza que hay que resolver o abordar. Evidentemente, eso ha conducido a que tengamos sistemas complejos que requieren de mucha integración, donde la intervención humana es todavía muy significativa.
El nivel de automatización que se ha conseguido en estos entornos sigue siendo, por lo general, bajo. Además, la capacidad de respuesta y protección se ve condicionada por una amalgama de soluciones que deben integrar, gestionar e interpretar las personas para comprender qué está ocurriendo cuando algo falla o se produce un ataque. En este contexto, se trata de modelos que no escalan y que no ofrecen una respuesta eficiente a los retos actuales.
Con el paso del tiempo, las organizaciones han ido entendiendo que este enfoque no es sostenible y que resulta necesario evolucionar hacia plataformas integradas, capaces de ofrecer una respuesta más eficaz e incorporar mejoras de forma progresiva a medida que surgen nuevas amenazas y desafíos.
En este sentido, desde Palo Alto Networks estamos en disposición de acompañar a nuestros clientes en ese viaje garantizando las necesidades que tengan de ciberseguridad.
¿Cuál es el ataque más visto en España que te ha preocupado más en los últimos años? ¿Qué sectores tienen más riesgo y cuáles van a afrontar el el futuro?
Si hablamos de sectores, evidentemente hay algunos más regulados que otros y eso hace que su nivel de madurez también sea diferente. Desde el punto de vista de los ataques y los patrones que observamos, el ransomware sigue siendo una de las grandes preocupaciones por la capacidad que tiene para paralizar sistemas y obtener un beneficio económico a partir del problema que genera a las víctimas.
Pero, sobre todo, me preocupa la cadena de suministro. Muchas veces el ataque no se produce directamente sobre nuestros sistemas o nuestros usuarios, que pueden estar bien concienciados y contar con estrategias de protección, sino que aparece a través de terceros. Cuando el problema llega por esa vía, además, suele saltarse muchas de las defensas que tenemos preparadas para impedir un ataque directo a la organización.
Si una cadena de suministro importante, ya sea desde el punto de vista del servicio o del software, sufre un incidente de este tipo, el efecto avalancha que puede generar sobre todas las organizaciones que dependen de ella puede llegar a tener un impacto transversal muy significativo.
Si llevamos esta reflexión al contexto actual, estamos viendo que los modelos más avanzados de inteligencia artificial tienen la capacidad de identificar vulnerabilidades en sistemas existentes y en software utilizado por muchísimas organizaciones. Además, pueden encontrar esas vulnerabilidades, construir ataques e incluso comprometer aplicaciones o herramientas que después utilizan miles de empresas. Ese efecto multiplicador es, sin duda, una de las cuestiones que más nos preocupa en estos momentos.
Después de la inteligencia artificial, la computación cuántica aparece como el siguiente gran desafío. ¿Cómo cambiará la ciberseguridad en los próximos años?
Sí, sin duda es otro de los grandes retos que tenemos encima de la mesa. La computación cuántica va a permitir descifrar información que hoy está protegida mediante protocolos de cifrado que no serán resistentes en una era post-cuántica.
Esto plantea dos preocupaciones principales. La primera ya está ocurriendo: determinados actores pueden estar recopilando hoy información cifrada a la que no tienen acceso, con la expectativa de poder descifrarla dentro de unos años cuando dispongan de capacidades cuánticas suficientes. No sabemos si será dentro de tres, cinco o diez años, pero sabemos que llegará.
La segunda preocupación es aún más amplia. Todos los mecanismos de protección que utilizamos actualmente para salvaguardar nuestros activos digitales tienen fecha de caducidad. Llegará un momento en el que, si no los sustituimos por sistemas más robustos y resistentes a la computación cuántica, dejarán de ofrecer la protección necesaria.
Desde Palo Alto Networks hemos abordado esta problemática desarrollando capacidades que permiten inventariar todas las comunicaciones e intercambios digitales que se producen dentro y fuera de una organización, identificar qué tipos de cifrado se están utilizando y priorizar qué sistemas deben transformarse primero en función de la criticidad de la información que protegen.
A partir de ahí, ayudamos a los clientes a planificar y ejecutar esa transición hacia entornos resistentes a la era post-cuántica. Incluso en aquellos casos en los que determinados sistemas no pueden actualizarse porque son entornos legacy, es posible establecer perímetros de protección para que todas las comunicaciones expuestas al exterior utilicen protocolos post-cuánticos resistentes, minimizando así el riesgo aunque la comunicación interna siga utilizando tecnologías más antiguas.
Es un ámbito en el que llevamos tiempo invirtiendo, ya contamos con tecnología para abordarlo y estamos acompañando a muchos clientes en ese proceso de transformación para garantizar sus necesidades de protección y soberanía digital.