Desde su puesto de global practice leader, security and resiliency de Kyndryl, Kris Lovejoy ocupa una atalaya única para calibrar los desafíos a la ciberseguridad en empresas y estados. Tiene varias patentes relacionadas con esta tecnología, es miembro del comité de ciberseguridad del World Economic Forum y creó la startup de IA BluVector, adquirida por Comcast en 2019. Además, es una excelente comunicadora, por mucho que se excuse: “hablo rápido, soy de Nueva York”.
Acaba de ser el Día Mundial de la Ciberseguridad. No sé si encuentras algo que celebrar.
(se lleva las dos manos a la cabeza y la baja hasta las rodillas) Por naturaleza, soy optimista, pero este año es muy difícil serlo. Eso es todo, ¿de acuerdo? Es importante hablar un poco acerca de por qué estamos en una posición tan única. Antes del COVID, muchas organizaciones se planearon transformar su infraestructura digital. Tomaron sus aplicaciones antiguas y las movieron a una infraestructura en la nube, sin darse cuenta de que si no reescribían las aplicaciones para que fueran nativas de la nube realmente lo que estaban haciendo era aumentar la complejidad.
Se requería una capa adicional de control de seguridad. A continuación, durante el COVID, toda la transformación se detuvo y se comenzaron a implementar tecnologías para respaldar las nuevas formas de trabajo. Gran parte de ellas se introdujeron muy rápidamente, sin seguridad. 10 años de innovación tecnológica en un año, sin control. Así que ahora tienes una gran cantidad de infraestructura heredada on premise y en la nube con más complejidad, mucho texto nuevo, diferentes nubes...
Hablas de desplazarse hacia la izquierda, hacia la derecha y subir de nivel en el medio para abordar precisamente el hecho de operar en diferentes nubes.
La superficie de ataque ha aumentado drásticamente y, al mismo tiempo, los actores de amenazas se han dado cuenta de que el ransomware y los ataques disruptivos son formas muy exitosas de ganar dinero. La forma de describir la industria hoy es hacer hincapié en la complejidad.
La mayoría de las organizaciones con las que hablo están tratando de averiguar cómo la abordan, pero al mismo tiempo reconocen que, con la inflación asociada al coste del hardware, el software y los servicios, han aumentado tanto los precios que, incluso si destinan un 8% más de presupuesto a seguridad, generalmente hay una disminución neta del gasto del 2%, debido a los vientos en contra de la economía.
Hay que añadir a esta complejidad tecnológica el factor geopolítico.
Absolutamente. Está impactando porque mucha innovación ocurre en tiempos de guerra, particularmente en áreas como la seguridad cibernética. Los actores que han apoyado el esfuerzo bélico también están participando en algunas de estas actividades, con un aumento de la financiación. Hay mucho dinero disponible para los autores de amenazas que introducen ransomware en entornos respaldados y también para ataques a infraestructuras críticas, particularmente a los proveedores de tecnología.
Las organizaciones que producen hardware y software están en el foco de muchos de estos actores de amenazas. A lo largo de muchos años, vamos descubriendo también que se ha introducido con éxito malware en el código que estamos adquiriendo como parte de nuestra tecnología.
El Gobierno de Estados Unidos ha dejado claro que la ciberseguridad, también en el sector privado, forma parte de su estrategia de seguridad nacional. Europa está trasladando a los Estados miembro que hay que actuar de forma coordinada, aunque eso implique renunciar a soberanía.
Esta es una cuestión complicada, porque lo que hemos visto en los últimos años se acerca casi al nacionalismo. El debate sobre la ciberseguridad se ha centrado tradicionalmente en la localización y en las normas de soberanía de los datos, que son muy específicos de un Estado en particular, y dentro de ese contexto, a veces de un sector.
Entiendo el objetivo, pero si soy una empresa y necesito trabajar en muchos países diferentes no voy a poder hacerlo. Si mis datos tienen que ser procesados localmente, surgen silos tecnológicos y se aplican políticas y principios. Todo esto aumenta el coste y el riesgo de error humano en el proceso. Para una gran organización que está tratando de trabajar en varios Estados es muy difícil.
"No soy una gran admiradora de políticas nacionalistas en materia de ciberseguridad"
Puede suceder que, si un país más pequeño introduce reglas de localización de datos, tenga un impacto en su PIB. Según estudios recientes, si algunas corporaciones consideran que es un mercado demasiado pequeño y caro para trabajar, debido a estos requisitos tecnológicos, se irán.
Algunos estados responden diciendo: “necesitaremos tener una capacidad tecnológica soberana para respaldar la localización de datos”, pero el problema es que no tienen la habilidad, ni la industria para producir la tecnología, y no pueden permitirse el lujo de innovar tan rápido como otros, de forma que se acaban quedando atrás.
No soy una gran admiradora de la política nacionalista en lo que respecta a la ciberseguridad. Más bien promovería la armonización y los acuerdos de reciprocidad que permitan a los aliados trabajar juntos de manera efectiva, tanto desde una perspectiva de seguridad nacional como económica.
¿En qué tipo de ámbitos es más urgente que se materialice esa colaboración?
Donde es más importante centrarse en este momento es en la oferta. Yo invitaría a trabajar en la seguridad de la cadena de suministro, me gustaría ver a los países aliados llegar a algún tipo de conclusión sobre un requisito estándar de seguridad que lo permita. Si lo hacen, podrán confiar en la tecnología que adquieran, sin importar de dónde venga.
En ciertos aspectos, Estados Unidos ha hecho un muy buen trabajo. Estamos evolucionando en la definición de los requisitos a través de las llamadas listas de materiales (bill of materials) de software. Con un acuerdo de reciprocidad en la cadena de suministro entre naciones aliadas, puedes tomar los datos, transmitir información, obtener acceso a la tecnología, confiando siempre.
En un momento tan incierto como el actual, la confianza se ha aupado al primer puesto entre las prioridades de los directivos.
Cuando hablas con clientes sobre inteligencia artificial (IA), todo el mundo quiere usarla. No necesariamente saben lo que significa, pero quieren hacerlo. Y cuando inician el viaje se dan cuenta de que para que la IA les resuelva un problema necesitan un algoritmo que permita hacerlo y datos. ¿Y de dónde van a salir los datos? Tengo los sistemas heredados on premise y en la nube y tengo otras cosas por aquí, pero no sé cómo integrarlo, cómo encontrarle sentido, ni siquiera sé si puedo confiar en ello. Si compro datos a un tercero, tengo que confiar en él para poder usar la IA y modernizar mi infraestructura subyacente, creando data lakes que me permitan hacerlo.
"Los estados necesitan modernizar su infraestructura crítica"
Honestamente, veo que en los próximos dos años vamos a ver mucho enfoque en la simplificación, en la descompresión del entorno de la infraestructura de TI. En el caso de los Estados iremos a la modernización de la infraestructura crítica, porque de lo que se están dando cuenta es de que es una buena proporción de ellas utiliza tecnología que es tan antigua que no se puede asegurar. El 46% de nuestra base de clientes utiliza la tecnología al final de su vida útil para ejecutar servicios de misión crítica.
Basta ir a un aeropuerto para encontrar Windows 7 en el servicio de control de equipajes, en efecto. Pero queremos dar el salto ya a la IA.
Es así porque no puedes confiar en los datos. La IA funciona de manera efectiva donde el caso de uso es muy limitado, pero se trata como un mecanismo para aumentar a los humanos en lugar de una tecnología que reemplaza a los humanos. Y ese es un matiz importante. El lenguaje natural se está utilizando para poder responder rápidamente, pero los seres humanos siempre están interactuando. Ahí es donde veo efectiva la IA, pero no allí donde no entiendes los datos, ni la fuente, ni el contexto. No se puede confiar en que los datos sean buenos.
Hemos visto muchas vulnerabilidades de los LLM. ¿Te preocupa? La forma en que hemos creado la IA generativa podría ser un gran problema.
Ahora mismo me preocupan más los datos. Es muy fácil manipularlos para llegar a una mala respuesta. Ayudé a construir una de las primeras empresas de IA para seguridad hace siete años. Creamos un modelo muy inteligente tomando todas las piezas de malware que se generaban recogidas por el Gobierno de Estados Unidos y luego reunimos cada pieza de software que se estaba creando. Le decíamos a la IA: cuando veas un código que parezca más malo que bueno, queremos que lo identifiques.
Y qué sucedió.
La idea era genial, etiquetamos meticulosamente los datos para entrenar el corpus, pero el problema es que un buen código puede parecer un mal código porque está muy mal escrito y un código malo puede parecer un buen código porque está escrito con calidad. Era casi imposible distinguir qué era ransomware y qué era un buen software. La cuestión son los datos.
Cuando piensas en lo impresionable que es la gente, en lo que cree… me preocupa la desinformación, la facilidad con la que se puede manipular a las personas para que crean algo. Cuando se compran datos para respaldar un modelo, simplemente se asume que son buenos.
"Europa siempre ha idi por delante en la propiedad de los datos. La privacidad existe como derecho"
En Europa, sobre todo el Gobierno de Alemania, se está analizando mucho la cuestión de la propiedad de los datos. Es otra derivada.
Europa siempre ha estado mucho más adelantada que la mayoría en la cuestión de la propiedad de los datos, y eso se debe a que existe un concepto de privacidad que se ha instanciado como derecho humano. Eso no existe en ningún otro lugar. En algunos países impera la creencia de que realmente no existe la privacidad, en EEUU no tenemos una ley nacional, sino diferentes formas de propiedad y el gobierno federal legisla en torno a los datos financieros o los de salud. Va a ser interesante ver cómo lo desarrolla Europa sin una descripción universal de la privacidad.
Hay muchos sectores que están evolucionando hacia una mayor conectividad, por ejemplo, el automóvil contempla un estallido del infotainment vinculada a su digitalización. ¿Cómo ves estos nuevos servicios en los sectores tradicionales?
Va a haber muchos cambios. El coche conectado es un buen ejemplo de lo que va a suceder y, junto a la cuestión de los datos, está la de la IA y la sostenibilidad. Lo que no sabíamos cuando empezamos a introducir el 5G, que es necesario para habilitar los coches conectados, es que con el despliegue de los RAN (Radio Access Network) y una conectividad más cercana, con la aparición de dispositivos y posibilidades que nunca esperábamos, se iban a producir más datos de los que podíamos concebir.
La mayoría de las empresas de servicios públicos subestimaron la necesidad de energía en alrededor de un 20%. Los requisitos para el procesamiento de datos son enormes y eso produce un impacto imprevisto en materia de sostenibilidad. Si pienso en todos los dispositivos conectados que se están introduciendo, en la falta de seguridad alrededor de algunos de ellos, como las RAN que se utilizan para conectarse a los coches conectados, en la falta de control que tenemos sobre el software que se está introduciendo en los vehículos conectados para habilitarse… va a ser un mundo loco.
De directores de seguridad a directores de resiliencia...
No habrá ningún lugar en el que podamos sentirnos seguros
Hay una realidad práctica, que es que los centros de datos pueden no pueden crecer tan rápido, las líneas de transmisión y distribución no caen del cielo, y vas a necesitar capital. Las limitaciones prácticas que tenemos nos darán una ventana de oportunidad. Esa es otra de las cosas que Europa está liderando en este momento: la conversación sobre la resiliencia, bajo cuyo paraguas se incorporará en algún momento la seguridad.
Probablemente en los próximos 10 años se producirá un paso de los directores de seguridad (chief security officer) a los directores de resiliencia, que se harán cargo de la seguridad, la continuidad del negocio y la recuperación ante desastres, es decir, de todos los riesgos que podrían afectar a la prestación de servicios habilitados digitalmente. Hay que pensar la seguridad de manera más amplia.
Recientemente, un directivo global decía que el tiempo de identificación y expulsión de la amenaza ha pasado de 44 días en 2021 a apenas seis en la actualidad. ¿Tendremos algún día ciberseguridad en tiempo real?
No funciona de esa manera, quiero ser realista. Si el 50% del negocio se ejecuta en tecnología que ya no es compatible con el proveedor, nunca habrá un parche. Y la mayoría de las empresas no permiten parches porque temen el tiempo de inactividad. Seamos realistas, me encantan los vendedores, pero a veces no es creíble todo lo que dicen.
¿De cuántos días estamos hablando ahora?
Depende. Si se trata de una nueva tecnología, puede ser casi instantáneo, pero si me hablas de un nuevo entorno en la nube donde la aplicación se refactorizó para ser nativa de la nube, el problema es distinto. Se podría detectar y responder a un problema casi instantáneamente, siempre y cuando pudiera detectar el problema, pero muchos de ellos son malware de día cero y nuestras detecciones de amenazas no han evolucionado hasta un punto en el que podamos encontrar todo el malware. Todavía hay una proporción muy alta de malware que entra y que simplemente no podemos ver.
Este es un buen momento para predecir las grandes tendencias del próximo año.
El gran tema será la resiliencia y uno de sus subtemas tratará sobre la modernización. Vamos a escuchar mucha discusión sobre el fin del ciclo de vida, la modernización de la tecnología y la simplificación. Es necesario contar con entornos híbridos que vuelvan a la nube. Mucha gente no es que se esté alejando de la nube, pero está diciendo que mover las aplicaciones heredadas no era una buena idea. Estamos viendo a muchos clientes trasladar las aplicaciones heredadas a los centros de datos, para reescribirlas y luego moverlas de nuevo a la nube.
Existe esa especie de tendencia inversa aquí en España. De hecho, esta semana hemos recibido seis solicitudes de construcción de centros de datos, un número enorme. Otra tendencia clave será la IA. Vamos a seguir escuchando hablar mucho de ella. Y también empezaremos a mirar más hacia los drones.
Los actores de amenazas están utilizando la IA generativa con los drones para que actúen como pájaros mediante biomímesis. El sistema de detección no los identifica como un robot, sino como un animal y, por lo tanto, no hace nada. Ahora se están utilizando muchos drones dentro del sector industrial y, aunque para utilizarlos hay que tener permiso, no existe una buena manera de rastrearlos, atraparlos y luego aterrizarlos de manera segura. Es muy difícil.
