Mario Reiter, Chief Sales Marketing Officer de Evolutio
Entrevista al CEO de Evolutio
Mario Reiter (Evolutio): «Si no creamos un modelo soberano, solo estaremos modernizando nuestra dependencia, no nuestra defensa»
España se juega su autonomía en un nuevo frente: el digital. Mario Reiter, directivo de Evolutio, explica cómo la IA, las amenazas cuánticas y la fuga de talento están redefiniendo la ciberdefensa y la necesidad de construir capacidades soberanas desde la industria nacional
en colaboración con evolutio
Mario Reiter es Chief Sales & Marketing Officer de Evolutio, una compañía española especializada en comunicaciones de misión crítica y ciberseguridad que opera algunas de las infraestructuras más sensibles del Estado, desde las redes diplomáticas hasta servicios para la Guardia Civil y el Ministerio de Defensa. Con más de tres décadas de experiencia heredada de BT en España, Evolutio se ha ido situando en el centro de la conversación sobre soberanía digital, redes críticas e inteligencia artificial aplicada a la ciberdefensa.
La entrevista llega en un momento en el que las guerras híbridas, la irrupción de la IA agéntica, las futuras amenazas cuánticas y la fuga de talento tecnológico están redefiniendo qué significa defender un país. Con esa presión de fondo, Reiter explica cómo ha cambiado el mapa de riesgos, por qué España necesita una IA soberana y un SOC nacional con tecnología propia y qué oportunidades se abren para los ingenieros que quieran quedarse aquí y poner su conocimiento al servicio de la defensa digital.
— Partiendo de vuestra experiencia en redes críticas del Estado, ¿cómo ha cambiado el mapa de amenazas en defensa y ciberdefensa españolas en estos dos últimos años, con guerras híbridas y conflictos como Ucrania u Oriente Medio en el horizonte?
— Al final en estos nuevos entornos lo que nos encontramos es que no se busca solamente el ataque en el ámbito físico. Si ha quedado algo claro, es que el ciberespacio, llámale como quieras, ya no es un dominio auxiliar de un conflicto, sino que es una zona de guerra desde el minuto uno. Y, de hecho, llevamos bastante tiempo, mucho antes incluso de estos conflictos, donde estábamos siendo… no quiero llamar atacados, pero seguramente, al menos, siendo objeto de intentos de desestabilización por parte de potencias extranjeras. En los últimos años, aparte de que obviamente el entorno ha cambiado sensiblemente, lo principal es la irrupción de la IA agéntica como un actor que permite que lo que antes necesitaba días o semanas de planificación y preparación ahora se consiga en minutos. Si queremos estar preparados para defender las infraestructuras críticas del Estado, tenemos que ser capaces de usar la IA en modo defensivo. De hecho, la reciente guía de buenas prácticas del CCN-CERT es muy clara: la IA ya no solo forma parte del ataque, también debe formar parte de la defensa.
La separación entre ciberdefensa militar y ciberseguridad corporativa es ya nula: el primer ataque de un adversario será contra nuestra infraestructura crítica
— El sector privado también es objetivo de ataques, espionaje industrial y operaciones híbridas. ¿Tiene sentido seguir hablando de una frontera clara entre ciberdefensa militar y ciberseguridad corporativa o esto ya es un mix?
— Lo primero, es que tienes que pensar que Evolutio es la evolución de lo que fue BT en España, y eso implica que llevamos más de 30 años en el país proporcionando servicios a la Administración General del Estado y a clientes terriblemente estratégicos. Desde el principio hemos sido capaces de soportar proyectos inicialmente de comunicaciones, luego de ciber y de inteligencia artificial en clientes que no pueden fallar. Cuando vienes de un ámbito de infraestructura de data center y de telecomunicaciones, lo de un «fundido a negro» es impensable. Y eso, en tecnología, en otras partes de atracción o gestión de información no siempre se tiene tan interiorizado, pero a nosotros nos ha acompañado en toda la evolución hacia, sobre todo, la ciberdefensa. ¿Qué hemos aprendido? Por ejemplo, cuando llega la crisis de Venezuela con el terremoto que lamentablemente hemos vivido, nosotros tenemos un mensaje a los 15 minutos para saber que nuestras embajadas están conectadas y que, en caso de que un español necesite ayuda, va a poder recibirla. Cuando tienes eso en la cabeza, es muy exportable a la idea de que no podemos fallar a instituciones como la Guardia Civil o el Ministerio de Defensa.
Mario Reiter, Chief Sales & Marketing Officer de Evolutio
— En las Jornadas de Defensa de El Debate hablaba de una capa digital que conecta y defiende plataformas críticas. ¿Qué exige hoy esa capa en términos de comunicaciones seguras, latencia, resiliencia y protección frente al sabotaje físico?
— Yo creo que, al final, cuando hablamos de defensa siempre pensamos en la plataforma: en el dron, en el avión de combate, en esa parte más visible, que obviamente es absolutamente necesaria. Pero a día de hoy no solo estoy pensando en la nube de combate; también estoy pensando en los apoyos tecnológicos a la parte de logística y de sostenimiento. La capa digital, esa capa que permite la interconexión de todos los agentes y efectores en un ámbito o entorno de combate y que además es capaz de ayudar en la defensa, es crítica, tan crítica como el propio efector en el terreno. Nuestro trabajo es justamente hacer que esa capa digital —que implica conexión resiliente y segura y la parte de defensa a nivel de ciberdefensa y de IA agéntica aplicada a la ciberdefensa— sea el punto donde realmente podemos marcar la diferencia.
Nuestros adversarios geopolíticos ya están interceptando y almacenando datos cifrados para desencriptarlos con tecnología cuántica: lo que no protejamos bien hoy será público mañana
— Ha seguido de cerca el tema de las amenazas cuánticas. ¿Qué pasos estáis dando en Evolutio hacia ese escenario post‑quantum ready? ¿Qué horizonte temporal manejáis para esa transición?
— Al final todos estamos pensando en que esto de la computación cuántica «tiene que llegar» y nos estamos preparando como si fuera algo futuro. Nos equivocamos. Nuestros adversarios geopolíticos ya están interceptando y almacenando información, aunque esté muy cifrada, pensando en su desencriptación cuántica. Lo que ahora se intercepta, o lo que se ha estado interceptando en diferentes ámbitos en el pasado, se está empezando a a poder desencriptar ahora. Nosotros apostamos porque nuestra infraestructura y la de nuestros clientes sean post quantum. Primero, porque además el PQC es la criptografía que tanto el Ministerio de Defensa como la OTAN aceptan como segura, y nuestra actuación pasa por asegurarnos, a nivel de infraestructura soberana y de comunicaciones, de que estamos preparados para ese escenario.
— Se habla mucho de «defensa colaborativa» entre los aliados de la OTAN. ¿Cómo se compagina compartir inteligencia y capacidades digitales con mantener la soberanía del dato y del modelo de IA en territorio español?
— Esto va por capas. Si algo nos han enseñado los últimos 10 años es que esa visión que nos acompañó desde el final de la Segunda Guerra Mundial, de una colaboración estricta y absolutamente blindada entre aliados, ya no es eterna ni puede ser al cien por cien. Tenemos que buscar diferentes capas de colaboración. Obviamente es absurdo aspirar a una dependencia total de otros, pero también lo sería ser autárquicos. Tenemos que buscar un punto intermedio. Debemos tener un nivel de colaboración con nuestros socios dentro de la OTAN, un nivel incluso mayor con nuestros socios europeos, pero sin olvidar que hay ciertas áreas de nuestro conocimiento, despliegue y capacidad militar que deben ser totalmente soberanas.
Si no dotamos de IA agéntica a los analistas de nuestros SOC, simplemente no tendremos capacidad de respuesta frente a agentes de IA atacantes que operan en minutos
— Cuando habláis de inteligencia artificial soberana aplicada a ciberdefensa, ¿en qué se diferencia, en la práctica, de utilizar grandes modelos comerciales alojados en la nube de un proveedor extranjero? ¿Qué riesgos asumiría España si dependiera de ellos para capacidades críticas?
—La gran diferencia es el control. Obviamente es absurdo pretender ser autárquicos: es lógico que utilicemos diferentes modelos para diferentes casos de uso. Hay casos de uso donde vamos a estar apoyados por modelos basados en grandes compañías de nuestro entorno, sean americanas o europeas, y donde sabemos qué tipo de información podemos gestionar para obtener cierto tipo de respuesta. Pero para determinados casos de uso, específicamente los relacionados con mando y control y con la propia ciberdefensa, el control de esa IA soberana es crítico por dos razones. La primera es que la IA se está convirtiendo en un vector de ciberataque claro: quien tiene acceso a una IA donde se ingieren los datos críticos de una empresa o de un ente público tiene acceso a todos esos datos de forma rápida y estructurada. Y la segunda es que la capacidad de tener una IA soberana, donde se ingieren datos absolutamente confidenciales y críticos que no dependan de ningún Estado extranjero, puede parecer hoy una quimera, pero va a ser absolutamente necesaria en un futuro muy cercano.
— En ciberdefensa se insiste en que «la IA propone y el humano dispone». ¿Cómo se traduce eso en un SOC y cómo se garantiza la trazabilidad de cada decisión crítica?
— La IA agéntica puede andar sola todo lo que le dejemos andar. Para ciertos casos de uso, la IA, en sus versiones agéntica y generativa, es perfecta. Nosotros trabajamos con clientes corporativos donde estamos automatizando procesos completos de servicio: por ejemplo, la gestión de una grúa cuando tienes un problema en carretera puede estar totalmente gestionada por la IA agéntica, sin necesidad de un ser humano porque no aporta valor añadido. Ese es un ámbito donde sí puedes sustituir al humano y dejar la IA operando, con un humano solo como supervisión general del servicio.
Pero en un SOC o en ciberdefensa no es así. En ciberdefensa hablamos de una IA que es capaz de detectar, analizar y proporcionar información crítica a un agente. Ese agente que dispone de la capacidad de acción debe ser siempre un humano, no solo por sus capacidades, sino porque el criterio para la toma de decisiones, incluso a nivel regulatorio, solo puede recaer en una persona. No es algo nuevo: llevamos más de tres años trabajando en un proyecto con INCIBE que nos ha permitido que nuestro SOC —el que da servicio a clientes públicos y privados— tenga ya una capacidad agéntica que ofrece al humano información en tiempo real, absolutamente estructurada, de lo que está ocurriendo. Recordemos que las IA atacantes tienen información, en tiempo real, de cualquier fallo de un fabricante o de cualquier filtración y, en menos de un cuarto de hora, pueden estar atacando infraestructura crítica a nivel mundial. Si no dotamos de capacidad de IA agéntica a nuestros agentes del SOC, que obviamente son humanos, no vamos a tener capacidad de respuesta.
España tiene talento para liderar la defensa digital, pero necesitamos ofrecer propósito y certeza de inversión a largo plazo para que nuestros ingenieros decidan quedarse
— El concepto de «SOC soberano con IA» suena muy potente. Si tuviera que explicárselo a un responsable político no técnico, ¿qué le diría que gana España si dispone de uno propio y qué pierde si externaliza esa capacidad?
— Lo primero es la autonomía de decisión. Lo que deben entender los responsables políticos es que necesitamos autonomía de decisión. Un SOC que tenga una IA soberana permite tener esa capacidad de decisión propia. Lo segundo es la protección del conocimiento. Un SOC no es un lugar cerrado que simplemente responde a ataques; es un lugar donde se adquiere de forma constante conocimiento en tiempo real que queda como bagaje. Tenemos analistas de seguridad que llevan más de 15 años trabajando, desde los inicios de determinados vectores de ataque, y ese conocimiento, estructurado en una metodología, es crítico de cara al futuro. Por mucha tecnología que tengas, el humano con esa experiencia, esa metodología y esa forma de trabajar es el que marca la diferencia. La tercera es la resiliencia: si dependes, tanto tecnológicamente como a nivel de conocimiento, del extranjero —me da igual que sea empresa privada o pública—, en un momento dado no puedes asegurar la resiliencia ni de las comunicaciones ni de las infraestructuras críticas. Y luego está la cuestión puramente de soberanía: si no somos capaces de crear un modelo soberano, lo único que estaremos haciendo es adquirir tecnología y modernizar nuestra dependencia, no conseguir soberanía.
— España está reforzando su base industrial de defensa con fondos europeos y programas nacionales. ¿Dónde crees que se juega hoy la verdadera ventaja competitiva: en las plataformas físicas o en la capa de software, datos e inteligencia artificial que las conecta?
— Durante mucho tiempo hemos pensado que esa base industrial estaba basada sobre todo en armamento, buques, vehículos, sensórica… y todo eso, obviamente, es absolutamente necesario. Pero pensar que hay que elegir entre hardware y software es un error. Es crítico trabajar en ambos a la vez. En España existe una industria de defensa potente, con bagaje y un legado claro a lo largo de los años. Creo que donde ahora podemos y debemos desarrollar más es en esa capa digital. Estamos demasiado dependientes del extranjero, de empresas extranjeras, y desarrollar esa capacidad digital por nosotros mismos nos va a ayudar, por un lado, a ganar soberanía; por otro, a desarrollar capacidades propias; y, en tercer lugar, a mantener el talento en España, que lo estamos perdiendo.
En España existe una industria de defensa potente, con bagaje y un legado claro a lo largo de los años
— Evolutio compite con grandes compañías globales, pero también coopera con ellas en programas de defensa. ¿Dónde trazáis la línea para decir: «hasta aquí llegamos juntos y, a partir de aquí, la tecnología tiene que ser española»?
— Como hemos comentado antes, no podemos ser autárquicos; sería absurdo, porque tenemos aliados con los que trabajamos y con los que debemos seguir trabajando. Hay casos de uso donde debemos trabajar en común y tener plataformas compartidas: desde un avión de combate desarrollado entre varios países europeos hasta capacidades industriales de empresas americanas o europeas con las que cooperamos. Ahora bien, para determinados ámbitos —la nube de combate específica del Ministerio de Defensa, la IA generativa o la IA que ayude en la ciberdefensa del SOC del Ministerio— se debe buscar un ecosistema español.
— Uno de los grandes cuellos de botella del sector es el talento con habilitación de seguridad. ¿Qué fórmulas estáis aplicando para atraer y retener esos perfiles y qué papel puede jugar la IA para que un equipo pequeño cubra una superficie de ataque cada vez mayor?
— No es que podamos, es que debemos usar la IA. Ahora mismo estamos cubriendo el déficit de talento en este país justamente por el uso masivo de la IA en aquellos casos de uso que lo permiten. Si no la usáramos, no tendríamos ingenieros suficientes para soportar la demanda. En nuestro caso, la IA nos ayuda a crecer en el ámbito que necesitamos. Tenemos centros de formación y desarrollo, como el de Linares, en Jaén, que nos permiten formar talento y donde ya tenemos a más de 120 personas. Creamos modelos de talento de forma constante, pero no damos abasto. La IA está ayudando a que un ingeniero sea mucho más productivo, y por eso nosotros no vemos la IA como sustituta, sino como complemento al ser humano, y, a Dios gracias, lo hemos entendido así desde el principio.
La IA está ayudando a que un ingeniero sea mucho más productivo, y por eso nosotros no vemos la IA como sustituta
Con respecto al mantenimiento del talento, yo creo que hay que ofrecerles una carrera desde que están en la universidad hasta que van avanzando con nosotros. Tienen que sentir que participan en proyectos que realmente pueden cambiar cosas, y ahí entra mucho el propósito. Se lo decía el otro día en el evento: a un chaval le puedes ofrecer 10.000 euros más o menos en Estados Unidos o Reino Unido, pero si siente que trabaja en un proyecto con impacto positivo para su país y que puede ayudar, en este caso concreto, en la defensa nacional, hay una parte importante de jóvenes que buscan precisamente ese propósito.
— Mirando a 2030, ¿cómo imagina la interacción entre un analista de ciberdefensa y su «gemelo digital» de IA? ¿Qué hará la máquina mejor que él y qué cosas deben seguir siendo exclusivamente humanas?
— Al final es la combinación de un entorno de combate donde hay humanos, con información en tiempo real de cada uno de los agentes que están en el terreno o en el ámbito de combate, y que son capaces de tomar decisiones ultrarrápidas. A veces la ciencia ficción acierta en lo esencial. La realidad es que ese es el futuro: la IA es un modelo para la toma de decisiones. Como emula extraordinariamente bien ciertas capacidades, a veces pensamos que tiene conciencia o criterio propio.
Pero la IA no tiene criterio propio, no es capaz de enlazar distintas visiones para tomar una decisión compleja; su criterio está basado en datos históricos que luego deben ser interpretados por una conciencia humana. Por tanto, la IA siempre va a estar supeditada al criterio humano. Debe formar parte de la gestión de la toma de decisiones, pero mi preocupación tiene más que ver con la educación de los humanos. Ahora mismo los humanos necesitan una educación tecnológica y, además, una educación que les permita entender, gestionar y desarrollar la IA. Para mí lo principal es que tengan capacidades lingüísticas, criterio histórico y capacidad de toma de decisiones, y muchas veces no estamos formando a nuestros jóvenes para eso. Siempre se lo digo a mis hijas: lo principal ahora mismo es leer si quieres gestionar la IA. Las inteligencias artificiales funcionan estupendamente bien y están diseñadas para decirte que todo lo haces bien, pero tú tienes que tener criterio propio; por eso hay que leer mucho y de muchas cosas.
En este país siempre nos ha costado pensar a largo plazo y ahora es especialmente difícil, pero en el medio y largo plazo la inversión en defensa tiene que aumentar
— Si tuviera delante a un grupo de jóvenes ingenieros que dudan entre desarrollar su carrera en una gran tecnológica internacional o apostar por la industria española de defensa digital, ¿cuál sería su argumento, no solo patriótico, sino profesional y de futuro?
— Para mí lo principal es tener la sensación de propósito y una visión a medio y largo plazo. En este país siempre nos ha costado pensar a largo plazo y ahora es especialmente difícil por la situación política, pero en el medio y largo plazo la inversión en defensa tiene que aumentar, por nuestros compromisos con los aliados y porque necesitamos generar capacidades propias. Es un momento muy interesante para los ingenieros. Lo que necesitamos es certeza de inversión a largo plazo: no necesariamente grandes concursos aislados, sino un escenario claro y fiable a medio y largo plazo. Creo que somos suficientemente atractivos como para que nuestros jóvenes se queden.