“Los datos son el petróleo del siglo XXI: hay que garantizar que tengamos un reglamento que nos permita progresar”

Pedro Pablo Pérez, VP de Seguridad de Telefónica y CEO de ElevenPaths, la Unidad de Ciberseguridad de Telefónica, nos habla sobre la importancia de una buena implementación del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), así como de las principales amenazas a las que nos enfrentamos en estos momentos.

En los últimos años, la ciberseguridad se ha convertido en una cuestión capital para todos. Desde las principales compañías de telecomunicaciones hasta los usuarios, todos podemos ser objetivo de un ataque cibernético. En este sentido, cada vez son más las amenazas que surgen en este ámbito dispuestas a dañar servidores, robar información, atacar criptodivisas, etc. Con el desarrollo de las nuevas tecnologías, la delincuencia ha alcanzado nuevas esferas de acción, y estar debidamente protegido supone una prioridad.

Por esta razón, contar con una unidad de ciberseguridad resulta algo indispensable para cualquier empresa en el desarrollo de actividades de este tipo. Asimismo, los usuarios requieren de la más reciente tecnología que les garantice seguridad en sus actividades.

De forma paralela, las instituciones han comenzado a elaborar normativas que protegen nuestros datos de posibles malversaciones y otros usos fraudulentos. Poco a poco se comienza a trabajar en una legislación acorde a la actualidad tecnológica, lo que supone una seguridad inmediata para este entorno.

De acuerdo con esto, el próximo 25 de mayo el Parlamento Europeo aprobará GDPR, el marco jurídico con el que los 28 estados miembros de la Unión Europea (UE) quieren que los ciudadanos europeos perciban la digitalización como un anhelo. El Reglamento y su aplicación a partir del 25 de mayo es una realidad que Telefónica saluda como una buena noticia.

En concreto, Pedro Pablo Pérez, VP de Seguridad de Telefónica y CEO de ElevenPaths, la Unidad de Ciberseguridad de la compañía, tiene mucho que decir sobre esto y sobre el momento en el que se encuentra actualmente la ciberseguridad. “Los datos son el petróleo del siglo XXI”, explica Pérez, que actualmente lidera la propuesta de innovación en seguridad para clientes internos y externos de Telefónica. “Hay que garantizar que tengamos un reglamento que nos permita progresar. Adicionalmente, se pide que todo esto se desarrolle teniendo en cuenta la Carta de los Derechos Fundamentales de la UE, es decir, protegiendo los derechos fundamentales de las personas”.

“El 25 de mayo es un hito parcial”

El Reglamento establece su piedra angular en el principio de soberanía digital o autodeterminación digital individual. Se reconoce al ciudadano como dueño y soberano de su privacidad y de todos los tratamientos de su información de carácter personal. Y ello es así independientemente del origen de esa información personal.

Según un test llevado a cabo por la compañía vpnMentor sobre más de 2.500 páginas web de empresas y organizaciones de la UE, solo un 34% de estas páginas estarían alineadas y cumpliendo con la nueva regulación GDPR. A falta de un mes para que el nuevo reglamento europeo entre en vigor, la mayoría de los sitios web tienen políticas de privacidad anticuadas o carecen de ellas.

En este sentido, Pedro Pablo se refiere a la importancia de estar siempre actualizado en materia de seguridad: “Parece que el 25 de mayo es el fin de una carrera y realmente es un hito parcial. Al fin y al cabo, es cuando se da el pistoletazo de salida. Nosotros siempre solemos decir que la seguridad es un proceso, no la llegada a una meta. Constantemente tienes que estar en seguridad”.

Las multas por incumplir el nuevo reglamento podrían alcanzar los 20 millones de euros o equivaler al 4 % de la facturación global anual de la empresa. Estas sanciones serán impuestas en el supuesto de que una compañía cometa infracciones muy graves, como no tener el consentimiento suficiente del cliente para procesar sus datos.

Asimismo, todos los incidentes de seguridad que afecten a datos personales de personas físicas, tanto si el acceso es pérdida o robo, como si es un simple acceso a esos datos, deberán ser notificados. De acuerdo con la normativa, si los datos personales accedidos incluyen direcciones de correo electrónico, ID de cuenta online o IP, será necesario notificarlo a las personas físicas afectadas. Por otro lado, si la información contiene datos monetarios, el incidente se debe notificar a la Autoridad de Control de Protección de Datos.

“Respecto a GDPR y su implementación, existe la figura del DPO, Data Privacy Officer. En Telefónica ya contamos con este perfil, y es el máximo responsable de todo lo relacionado con Reglamento General de Protección de Datos. Además, hace dos años adquirimos una empresa de compliance normativo precisamente en el área de GDPR. También contamos con un software que hemos ido desarrollando en ElevenPaths, y que estamos implementando para garantizar este cumplimiento”, explica Pedro Pablo.

En definitiva, el GDPR supone una respuesta a la necesidad de estar listos para el desafío tecnológico que plantea este 2018.

Cinco amenazas cibernéticas en 2018, según el MIT

En este escenario, y de acuerdo con un artículo del MIT sobre ciberseguridad, este año se producirán cinco amenazas cibernéticas preocupantes: violaciones de datos, ransomware en la nube, ataques ciberfísicos, ataques a criptodivisas y pirateos en procesos de selección de votos. Cada uno de estos puntos puede resultar una amenaza, aunque Pedro Pablo, tras más de 15 años trabajando en el sector de la seguridad TI, advierte lo siguiente: “No solo están estos cinco puntos, hay muchos más, y la frecuencia aumenta”.

Por tanto, los usuarios podemos vernos damnificados por esta clase de pirateos en cualquier momento. En el ejemplo de los ataques ciberfísicos contra redes eléctricas o sistemas de transporte, Pérez explica que ponen en riesgo incluso a la ciudadanía. “Ataques por los cuales se genera un apagón en un determinado lugar son una realidad, pero lo que todavía no ha ocurrido es un ataque que tenga un impacto mundial”, indica.

Igualmente, declara que el ransomware en la nube es un movimiento esperado pero peligroso para todos. “Inicialmente esta extorsión atacaba PCs. Ahora, la potencia de cómputo está desplazándose a la nube, siendo el objetivo de los cibercriminales cifrar datos y recibir una recompensa a cambio. Si la recompensa está ahora en la nube, pues, evidentemente, van a la nube”, detalla.

Por otro lado, el CEO de ElevenPaths se refiere a la cuestión de los procesos de selección de votos, donde, según explica, aquello que percibimos y sufrimos más en estos momentos es el problema de las fake news. Es decir, cómo se puede influir en la población mediante medios digitales. Los pirateos en este proceso también se producen en dos sentidos, indica: “Por un lado, se trata de utilizar los sistemas digitales para intentar que me voten a mí; y por otro, de piratear el recuento de los votos en sí”.

En cuanto a los ataques a las criptodivisas, Pedro Pablo aclara que dentro del mundo digital hay que observarlos desde diferentes ángulos: “Por una parte, existe la posibilidad de que alguien quiera robarlas; y por otra, de que se utilicen para el pago por una posible recompensa o lavado de dinero. Lo que hacen es atacar principalmente a los wallets y robar muchísimo dinero. Además, cuando alguien tiene que efectuar un pago por ransomware se utilizan también criptodivisas”.

Por último, respecto a las violaciones de datos, Pérez explica que no son algo nuevo. En este sentido, se estima que hay más de 4.000 millones de ciberidentidades que ya han sido robadas. “De alguna manera, una regulación como GDPR ayudará a que la mayoría de las empresas tomen conciencia, se detecte, se reporte antes y, sobre todo, se pongan medidas al respecto”, comenta.

La seguridad consiste en tecnología, personas y procesos

Dada la creciente importancia de la ciberseguridad en el panorama digital a nivel global, todos los años se celebra con éxito la RSA Conference, que actualmente está teniendo lugar en San Francisco entre los días 16 y 20 de abril. El evento reúne cada año a miles de expertos en seguridad, profesionales y medios del sector de todo el mundo, para definir el presente y futuro de la ciberseguridad. Telefónica está presente, por tercer año consecutivo, con su propio estand. “Lo que hacemos allí es presentar los centros de operaciones globales y los servicios de seguridad”, explica Pedro Pablo Pérez. “Tenemos que ir más allá de la pura tecnología, es decir, la seguridad consiste en tecnología, personas y procesos”.

En este sentido, el ecosistema empresarial constituye uno de los pilares de la conferencia. “La digitalización cada vez es más patente, y lo que hacemos es ir más allá de la complejidad que tienen las empresas en securizar sus sistemas. Es decir, nos centramos en cómo podemos simplificar todo esto, dándoles plenas garantías para que confíen en Telefónica”.

La innovación en el ADN

En cuanto a la trayectoria de ElevenPaths, en opinión de Pedro Pablo el balance de la unidad es muy positivo. “Hoy en día, disponemos de un catálogo completo que cubre todas las necesidades. Además, contamos con productos que hemos fabricados nosotros, es decir, contamos con intellectual property propia. De hecho, el área de ElevenPaths está registrando en este momento el 10 % de las patentes de Telefónica”.

Asimismo, destaca el papel transformador que la unidad ha tenido dentro de la multinacional. “Siempre se suele decir que necesitamos nuevo talento. Pues bien, somos una de las áreas más consumidoras de talento joven dentro de la compañía, y que ha traído más diversidad. Por ejemplo, a través de programas como ‘Mujeres hacker’”, indica.

Finalmente, Pérez sintetiza brevemente los objetivos de la Unidad de Ciberseguridad para el presente año: “No podemos cometer el error de dejar de innovar. Ese es el reto principal, garantizar que Telefónica no sea percibida dentro del mundo digital como un mero revendedor de tecnologías, sino que tiene la innovación en el ADN”.

Sobre el autor

RELACIONADOS