Acompañado de su particular gorro a rayas azules, Chema Alonso es uno de los hackers españoles más conocidos a nivel internacional.
Este madrileño, es el CDCO (Chief Digital Consumer Officer) de Telefónica y ahora, también, se convierte en el Mentor de los Programas de Máster del Campus Internacional de Ciberseguridad.
Diariamente, en todo el mundo, se producen millones de ciberataques y nadie está exento de ser una víctima más. Pero al igual que la ciberdelincuencia es cada vez más grave y sofisticada, también lo es la manera de subsanar estos conflictos.
Para conocer la situación real del estado de la ciberseguridad en el mundo hablamos con Chema Alonso, experto en ciberseguridad.
Actualmente, muchos conflictos entre países se solventan en el ciberespacio ¿Nos encontramos inmersos en la una ciberguerra mundial? ¿Adónde vamos a llegar?
No sé si me atrevería a decir que estamos en un escenario de ciberguerra mundial, pero que hace ya varios años que los países han comenzado a realizar operaciones en el ciberespacio con objetivos en países terceros es una realidad. Las fuerzas de seguridad de los estados tienen el ciberespacio como uno de los espacios militares a tener en cuenta. Hoy en día no se puede pensar en la defensa nacional de un país sin preocuparse de ataques cibernéticos a las empresas e infraestructuras de estado. Y esto va a ser así durante muchos años en adelante.
Creo que desde el punto de vista tecnológico de investigación más puntera será, sin duda, todo lo referido a la Inteligencia Artificial aplicada a ciberseguridad
Se habla de que la Inteligencia Artificial automatizará la ciberseguridad en el mundo. Cómo, si es la que también ayuda a los ciberdelincuentes.
El desarrollo de las técnicas de Inteligencia Artificial, con nuevos modelos día a día está llevando el aprendizaje de los algoritmos de Machine Learning a un desarrollo espectacular. Cada día los nuevos avances en algoritmos de Inteligencia Artificial están superando una barrera nueva. Hoy en día es casi impensable crear una herramienta sin aplicar algoritmos de Machine Learning para realizar parte de las funciones o que no esté basado íntegramente dicho servicio en una Inteligencia Artíficial.
Hablamos del concepto de paridad humana o Human Parity para referirnos a las disciplinas en las que la AI ha superado a la media de las capacidades de los seres humanos en ella. Y ya hay muchas disciplinas en las que la AI ha superado la paridad humana. Hay que tomarlo como es. El coche supero la Human Parity en correr hace mucho tiempo. Ahora la AI está superando la paridad humana en el reconocimiento de personas, en la comprensión lectora, o la traducción de idiomas.
Y con los algoritmos de AI basados en datos masivos, como el famoso GPT-3, la cosa se dispara hacia nuevos límites. Y en la seguridad informática vamos a tener AI para mejorar todos los sistemas basados en perfiles, en reglas o en supervisión manual con sugerencias de acciones. Pero es que atacar a los algoritmos de AI de una empresa o crear AI para realizar ataques a empresas también se va a desarrollar. Es el camino al que vamos y hay que prepararse.
Hablando del ámbito empresarial ¿En qué nivel de madurez sobre seguridad informática se encuentran las empresas? ¿Y el usuario?
Pues depende. Creo que tenemos un buen nivel de conocimiento y preparación en seguridad informática como regla general, pero un fallo puntual en la cadena de seguridad es muy peligroso. Por eso es importante que las empresas cuenten con preocupación en los ciclos de desarrollo y aplicación de tecnologías seguras en sus entornos de producción, así como que los profesionales de esta disciplina continúen formándose. No recuerdo un día en mi vida en el que no haya tenido que aprender algo nuevo.
En cuanto a los usuarios, personalmente creo que debemos hacer que la seguridad sea sencilla para ellos. Que sea fácil de entender los riesgos y fácil aplicar medidas de protección personal, y no obligarles a que sepan configurar una VPN con L2TP para tener una red privada virtual contra la empresa.
Por otro lado, es verdad que dentro de la empresa el concepto de “Usuario-yo-no-sé-nada-de-tecnología-ni-quiero-saberlo” se tiende a extinguir porque en el año 2020, bien entrado ya el Siglo XXI las empresas no lo pueden aceptar. Y es responsabilidad de los usuarios saber qué es un phishing, un segundo factor de autenticación o un antimalware. Creo que eso es como leer y escribir en los años 80. Un requerimiento mínimo para entrar en la empresa a trabajar.
¿Qué tendencias a nivel de seguridad informática marcarán los próximos años?
Creo que desde el punto de vista tecnológico de investigación más puntera será, sin duda, todo lo referido a la Inteligencia Artificial aplicada a ciberseguridad. Está aquí, y ha venido para quedarse. Por supuesto, el desarrollo seguro de código, la gestión de las amenazas APT contra la empresa desde el mundo del cibercrimen, y la mejora de los procesos de gestión y control de la seguridad dentro de la empresa se van a desarrollar de manera acelerada. Hay que tener en cuenta que cada vez tenemos más tecnologías y con menos antigüedad, que se meten en las empresas a marchas forzadas. Cosas como la dockerizacion no existían hace 10 años y de ahí comienza a enumerar….
Es importante que las empresas cuenten con preocupación en los ciclos de desarrollo y aplicación de tecnologías seguras en sus entornos de producción, así como que los profesionales de esta disciplina continúen formándose.
Como Mentor del Campus Internacional de Ciberseguridad ¿Qué es lo que te ha atraído del Campus?
Siempre he estado cerca de la universidad. Dirigí un Master de Ciberseguridad durante casi diez años, donde impartía algunas clases, y he estado muy cerca de las universidades dando conferencias, clases de asignaturas, etc… Mi escuela me nombró Embajador Honorífico, y la Universidad donde estudié mi doctorado me honró con el Título de Doctor Honoris Causa. Sin embargo, todo lo que hacía con la Universidad lo fui dejando por falta de tiempo, pero siempre he querido estar cerca de la enseñanza. Así que la oportunidad de compartir un poco de mi experiencia en el ámbito de la universidad, de la ciberseguridad, y de mi realidad en el trabajo para incidir de alguna manera en los contenidos de los programas de Master que van a tener los alumnos, proponer recomendaciones de mejora y estar cerca del equipo formador, me parecía una forma bonita de volver a sentir que estoy allí.
¿Qué les brindarás a todas las personas que forman parte de esta gran comunidad de profesionales?
La verdad es que no sé qué les puedo ofrecer. Durante toda mi vida lo único que he hecho ha sido seguir mi camino. Acertando y errando en mis decisiones en mayor o menor medida. Eso ha generado en mi una larga experiencia en mi trayectoria profesional de 25 años. Durante estos años he pasado de ser un chico del Barrio de la Loma de Móstoles a montar grandes proyectos como Informática 64, ElevenPaths, 0xWord, MyPublicInbox o ser el CDCO del grupo Telefónica. Si mi experiencia sirve para algo a los alumnos, bienvenido sea, pero deben ser ellos los que saquen lo mejor de ellos y busquen su camino.
Si que es verdad que, como a mí me gusta mucho hacer proyectos, hacks, PoCS o MVPs de ideas locas, patentes y cosas que investigo, voy a proponer algunos Trabajos Fin de Máster para que los hagan conmigo y mi equipo de Ideas Locas. A ver si los motivamos a que se conviertan en lo que quieran ser.