Román Ramírez, cofundador de RootedCON y un reconocido experto en ciberseguridad, en las XIX Jornadas STIC CCN-CERT
XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON Román Ramírez, hacker: «La IA y el escenario cuántico van a ser dramáticos para la ciberseguridad»
Román Ramírez, cofundador de RootedCON y una de las voces más influyentes en el ecosistema español de ciberseguridad, advierte de que España afronta riesgos que ya no dependen solo de la tecnología, sino de decisiones humanas, políticas y organizativas. Este prestigioso hacker, que participa en las XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON, asegura a El Debate que el país arrastra un problema estructural: la incapacidad para pagar salarios competitivos a especialistas altamente cualificados. Ramírez alerta además de la vulnerabilidad de la cadena de suministros y señala que los próximos años estarán estarán dominados por dos amenazas: la inteligencia artificial y la computación cuántica.
Román Ramírez durante una conferencia técnica sobre Frida, una instrumentación de código abierto utilizada para analizar y manipular dinámicamente el comportamiento de las aplicaciones móviles
—¿Cuál diría que es la principal vulnerabilidad que tiene ahora mismo España en materia de ciberseguridad?
—La principal vulnerabilidad que tiene España en materia de ciberseguridad es una vulnerabilidad muy peligrosa que se llama pagar salarios bajos a los profesionales de ciberseguridad. En un mundo donde tenemos grupos de amenaza que sobornan a insiders y compran credenciales para poder acceder a cualquier sitio —y un ejemplo es el grupo Lapsus, que pagando 200, 3.000, 20.000 o 50.000 euros te facilita una credencial— tener a una persona cobrando 23.000 euros al año es un suicidio desde el punto de vista de la ciberseguridad. Y no tiene que ver con la tecnología, sino con entender quién está protegiendo lo que es verdaderamente crítico en tu organización.
—En los últimos años, la superficie de ataque se ha multiplicado. ¿Qué tipos de amenazas emergentes te preocupan más y por qué?
—Entre las amenazas emergentes que nos estamos encontrando ahora mismo, el problema que están detectando todas las organizaciones es la cadena de suministro. Nosotros podemos tener nuestra fortaleza bien gestionada y controlada, pero luego llega un proveedor con acceso privilegiado y te introduce una amenaza. Al final todo es un círculo de 360 grados: yo soy cliente de tu empresa, tu empresa es proveedora de otra, esa otra a su vez de otra y, por detrás, vuelve a ser proveedora mía. Estamos todos conectados en la cadena de suministro. Gestionar cada proveedor y cada subproveedor es muy difícil, y ahora mismo todos tenemos vulnerabilidad ahí.
Inversión insuficiente
—Las administraciones públicas han sufrido incidentes relevantes. ¿Crees que la inversión pública es suficiente para la magnitud del riesgo?
—La inversión pública no es suficiente para la magnitud del problema que tenemos, como tampoco lo es en el sector privado. Hay un problema de fondo: muchas organizaciones perciben la ciberseguridad como un coste hundido en la cuenta de pérdidas y ganancias. No ven que aporta valor y evitan invertir lo que deben. Creen que van a pasar desapercibidos en un mundo donde los adversarios atacan constantemente. Tanto el sector privado como la administración pública invierten poco y, además, tienden a reducir el gasto. Intentan ahorrar donde no deben, y así el dinero acaba en manos de los mafiosos.
—Suele hablar de la importancia del talento. ¿Está España perdiendo la batalla por retener a los mejores en ciberseguridad?
—Tenemos una batalla por el talento muy complicada. España, por desgracia, paga muy mal a la gente cualificada, sea cual sea la cualificación. Se entiende que hay que pagar millones a alguien que sabe sumar y restar —un financiero— y no se entiende que haya que pagar bien a una persona que sabe lidiar con agencias de inteligencia o con mafias especializadas. Tenemos un problema muy serio de percepción sobre quién es realmente el activo más valioso en la organización.
En los próximos cinco, diez o quince años, la inteligencia artificial va a ser muy ‘killer’: va a cambiar las reglas del juego de todoHacker
Además, no hay una muralla que impida que alguien trabaje en remoto para países extranjeros. A mí me llegan muchas ofertas de fuera con sueldos desorbitados. Entiendo perfectamente que un chaval de 25 años, el primero de su promoción, al que le ofrecen 18.000 euros al año, diga que no vuelve a trabajar en España. Esto pasa, y tenemos que hacer algo.
—RootedCON se ha convertido en un referente europeo. ¿Qué ha cambiado en el perfil del asistente y del atacante en estos 15 años?
—Llevamos 15 años, sí. El perfil del asistente de RootedCON es muy amplio. Aunque el evento está profesionalizado, también vienen hackers independientes e incluso grupos criminales que sabemos que están por ahí intentando captar talento para lo suyo. Somos un evento neutro y procuramos que venga todo el mundo.
Estamos viendo que el nivel de conocimiento es cada vez más alto e intenso. También se nota que la gente envejece: la pirámide demográfica se desplaza hacia personas más mayores. Entran jóvenes, pero los jóvenes que entran ya no están tan involucrados en el sector. Percibimos un cambio en el flujo de personas. No veo una amenaza inmediata porque creo que aún tenemos diez o quince años de margen, pero sí estamos haciendo acciones para atraer gente más joven. Mi percepción es que cada vez hay menos juniors.
El especialista en ciberseguridad Román Ramírez alerta de las vulnerabilidades en la cadena de suministro
—¿Qué es un hacker ético? ¿Se definiría como hacker ético?
—Yo siempre me he definido como hacker. Hacker es una manera de ver el mundo diferente. Si alguna vez has desmontado algo para comprenderlo, ya lo estás siendo.
—¿Le añadiría el apellido «ético»?
—La palabra ‘ética’ es algo personal: cada persona tiene la suya. Ser hacker, en mi opinión, es una percepción del mundo. Es mirar en diagonal en vez de mirar en vertical, como te han enseñado. Hay médicos y abogados que son hackers. Es una forma de interpretar las cosas y retorcerlas para ir un paso más allá. Por eso lo he dicho antes en la charla: no creo que tengamos tanto que ver con los ingenieros; creo que estamos más en el lado artístico.
—¿Qué tecnologías —como la IA o la computación cuántica— tendrán mayor impacto en las ciberamenazas de los próximos cinco años?
—En los próximos cinco, diez o quince años, la inteligencia artificial va a ser muy ‘killer’: va a cambiar las reglas del juego de todo. Ahora estamos en la etapa de negación; los humanos decimos que ‘esto no funciona’ y es mentira. Claro que funciona.
Tenemos que enfrentarnos al modelo capitalista, que quiere rentabilizar y bajar costes a lo bestia. Si yo tuviera que gastar dinero en contratar gente, ¿para qué voy a hacerlo si esa gente duerme y hace pis? Voy a meter cuatro motores de IA que funcionan y me quito humanos de encima.
La IA va a ser dramática: generará mayor superficie de exposición, mayor riesgo de sobornos y muchas más cosas.
Y el escenario cuántico será terrible. En cuanto exista un ordenador cuántico capaz de romper el cifrado actual, todo lo que no se haya actualizado será vulnerable. Un ejemplo muy simple: tu empresa tiene unas escrituras que dicen que tú eres el dueño. Eso está firmado digitalmente. Si yo puedo romper eso, cambiar el dueño y mantener una firma válida, tienes un problema muy gordo.
La IA y el postcuántico van a ser dramáticos desde el punto de vista de la ciberseguridad.
