Vicente Díaz es estratega de amenazas de VirusTotal, una empresa malagueña adquirida por Google en 2012 y núcleo del centro de ciberseguridad (GSEC) que la tecnológica estadounidense acaba de abrir en la capital de la Costa del Sol.

Un espacio en el que varios equipos de Google colaboran e investigan para desarrollar nuevas herramientas y donde sus expertos también se relacionarán “con la comunidad para proporcionar conocimientos de ciberseguridad a todos los niveles, desde empresas a universidades e incluso colegios”.

Díaz, que vive a caballo entre Málaga y Barcelona, llegó hace algo más de tres años a VirusTotal y Google tras una década trabajando en Kaspersky, donde se especializó en el análisis de amenazas avanzadas (ataques de gobiernos contra otros países o sus empresas, como la famosa Operación Aurora).

En Málaga, junto al resto del equipo de VirusTotal, lleva meses trabajando y experimentando con inteligencia artificial (otra de sus especialidades) para la detección de amenazas. Un proyecto que, según desveló un informe que publicaron hace unos días, multiplica la rapidez y la eficacia de las herramientas utilizadas hasta ahora.

-¿Cómo empezó en el mundo de la ciberseguridad?

-En mi caso fue puramente curiosidad. Desde los primeros ordenadores domésticos, preguntaba a quien tuviera a mano, mis padres por ejemplo, qué ocurría para que al pulsar una tecla apareciese una letra en pantalla. De ahí pasé a revistas en las que explicaban cómo programar y trataba de hacerlo en mi ordenador. Intentaba entender por qué pasaban cosas que no sabía cómo era posible hacer. También estaba el tema romántico de lo que era ser hacker (Juegos de guerra, por ejemplo), contactabas con gente interesada en el tema con la que aprendías y compartías información... A partir de ahí explosionó mi aprendizaje y empecé a trabajar de forma profesional en el mundo de la ciberseguridad.

-¿Nunca le ha tentado el lado oscuro?

–No, nunca. Es lo típico que preguntaba todo el mundo, si podía entrar en la cuenta de Facebook de Pepito. Nunca me lo he planteado, la verdad, ni me ha llamado la atención. Me interesaba saber por qué ocurrían las cosas y, una vez lo aprendía y tenía este conocimiento, no pensaba en hacer nada malo con ello.

-¿Cuál es el reto más difícil al que se ha enfrentado?

-Durante mi carrera he participado en investigaciones sobre amenazas gubernamentales, con países espiándose unos a otros. Hubo una época un poquito más salvaje en la que todo este tipo de investigaciones se hacían públicas sin más y se compartía información, pero hoy en día ha cambiado muchísimo. La parte no técnica asociada, por así decirlo, las implicaciones a nivel político, ese estar inmiscuido en algo mucho más grande, creo que eso es lo más complicado.

-Ya no es simplemente resolver un problema.

-Tú lo planteas como tal, porque es resolver un problema técnico. Pero tampoco sabes las consecuencias y ramificaciones.

Vicente Díaz, estratega de inteligencia de amenazas de VirusTotal

-¿Cómo encaja VirusTotal en el entramado general de Google?

–Aunque estemos dentro de Google Cloud, es un equipo que siempre va a encajar dentro de cualquier equipo mayor de Google. Es un espacio neutro dentro de la comunidad, en el que colaboran multitud de equipos, investigadores, ciudadanos... y todos se benefician, obteniendo datos e información que tienen por sí mismos un valor único.

-Constantemente vemos ciberataques, ciberdelincuencia de todo tipo... ¿Cómo de real es el peligro?

-Como seres humanos, la forma que tenemos quizás de percibir la realidad es ver que una amenaza se acerca y estar atentos para que no nos ocurra nada. Pero no es mirar si vienen coches antes de cruzar una calle. Cuando hablamos de sistemas conectados 24/7 que reciben en todo momento multitud de ataques sin parar, porque todo es automático, la amenaza es muy real. No es ‘a ver si va a pasar algo, para estar atento antes de que pase’; pasa continuamente, la amenaza es muy real porque los ciberataques son constantes.

Está también la vertiente criminal: los que buscan vulnerabilidades para explotarlas y poner el pie en cualquier tipo de organización y así hacerse con unos datos que luego se van a vender en un mercado oscuro. Alguien los compra e intenta desplegar su ransomware en el mayor número de empresas y a ver cuánto saca.

Vicente Díaz (izq), en una mesa redonda durante la inauguración del centro de ciberseguridad de Málaga

-¿Cuál diría que es el mayor riesgo ahora mismo?

-Se puede responder en función de lo que entendamos por riesgo. Solemos pensar en sistemas críticos (suministros, conectividad, infraestructuras...), pero estos ataques continuos de los que hablaba afectan muchas veces a empresas que saldrían de la zona de peligro solo con dar un pasito más.

"Hay una parte importante de concienciación. Si recordamos el ataque de WannaCry, las vulnerabilidades de Windows ya eran conocidas y tenían su actualización disponible, pero muchas empresas no las habían desplegado"

-¿A qué se debe eso?

-A lo mejor por dejadez, por tener sistemas obsoletos, servicios conectados a Internet sin tener que estarlo, no tener doble factor de autenticación... El caso es que no están actualizados y protegidos frente a ese tipo de amenaza constante, que quizás es más silenciosa pero puede ser la puerta de entrada para problemas críticos. Por ejemplo, los famosos ataques a la cadena de suministro: voy a por esta empresa que a su vez proporciona servicios a esta otra y a partir de aquí consigo entrar. Esos ataques indiscriminados son los más peligrosos y por ahí puede venir la próxima gran crisis. Damos la posibilidad de que entren simplemente por no tener un mínimo de higiene digital. Muchos ataques recientes tienen una sofisticación bajísima, es básicamente convencer a alguien de que te dé una contraseña, o de que te proporcione permisos porque está teniendo un problema técnico. Luego hay otros con afectación muy notable que tienen que ver con vulnerabilidades en algún programa que está muy distribuido. Al segundo siguiente estará todo el mundo escaneando Internet en busca de dispositivos vulnerables. Proporcionar una solución y actualizar rápidamente es lo que te saca del peligro.

Parte del equipo que trabaja en el centro de ciberseguridad de Google en Málaga.

-Ahí es clave que la empresa propietaria del programa afectado avise a los usuarios. ¿Funciona ese apartado bien?

-Se podría hacer mejor, sin duda, y depende mucho de la empresa. Pero también hay una parte importante de concienciación. Si recordamos el ataque de WannaCry, las vulnerabilidades de Windows ya eran conocidas y tenían su actualización disponible, pero muchas empresas no las habían desplegado.

"Muchas veces somos reactivos en lugar de proactivos y eso afecta sobre todo a pymes, que no piensan en la seguridad desde el primer minuto, que es cuando es más efectivo. Cuando hay que ser reactivo es cuando realmente la seguridad es muy cara"

-¿Se hace lo suficiente, a todos los niveles, para que la gente entienda lo importante que es esa higiene digital?

-En los últimos años se ha hecho un esfuerzo grandioso y hay muchísimos más recursos (por ejemplo, en España tenemos el Incibe, que proporciona ayuda para pymes y usuarios). Pero todavía no se llega al porcentaje de la población al que se tendría que llegar. Muchas veces somos reactivos en lugar de proactivos y eso afecta sobre todo a pymes, que no piensan en la seguridad como algo que hay que tener en cuenta desde el primer minuto, que es cuando es más efectivo. Cuando hay que ser reactivo es cuando realmente la seguridad es muy cara. A lo mejor, si en lugar de escoger este sistema operativo optas por Chromebooks y tienes doble factor de autenticación y trabajas en la nube, pues con eso eliminas el 90% de amenazas.

"Muchas veces no es un problema técnico, sino humano. El fraude que más éxito ha tenido en los últimos años ha sido el del CEO"

-Todos los días se informa de nuevos ataques, nuevas estafas y estafados. Si sigue habiendo estafas es porque sigue habiendo gente que pica...

-Es una cuestión de escala. Si eres capaz de llegar con tu ataque a millones de usuarios, pues con que haya un 0,1% que pique, ya tienes 10.000. Este tipo de ataques van a seguir ocurriendo y nunca va a llegar un punto en el que todo sea 100% seguro. Muchas veces no es un problema técnico, sino humano. El fraude que más éxito ha tenido en los últimos años ha sido el del CEO. Te llama alguien y te dice ‘tengo que coger un avión en una hora y me tienes que hacer esta transferencia porque si no tenemos un problema gordísimo y te despido’. La persona que está al otro lado del teléfono a lo mejor sucumbe a la presión. No es ningún problema técnico, muchas veces se trata del factor humano y al final es así de sencillo y a la vez tan complicado, porque ese factor humano puede ser el eslabón más débil de todo.