Sergio de los Santos, Hispasec: «La popularización de Internet ha contribuido a una prostitución de nuestra información»

Hoy entrevistamos a Sergio de los Santos, de Hispasec Sistemas, un profesional de la seguridad informática referente en nuestro sector que ha participado en muchos proyectos interesantes. Además, es autor del libro «Máxima Seguridad en Windows: Secretos Técnicos».

La pregunta es ya obligada, ¿por qué te dedicaste al mundo de la seguridad?

Accidente. Andaba muy decepcionado con los ordenadores cuando iba a terminar la universidad a finales de los 90. No habíamos tocado nunca redes ni por supuesto, Internet. En ese momento Ismael Valenzuela me embarcó en el proyecto G2Security porque me conocía de alguna que otra clase en la que compartimos proyecto y monitor. Me convertí en el primer (y único, mucho tiempo) empleado de la empresa con todo lo que esto conllevaba y sin experiencia previa. Lo pasé mal, pero fueron casi dos años en los que tuve que aprender a cámara rápida. Supongo que me vino bien, al fin y al cabo.

¿Cuál es tu principal función en Hispasec?

Coordino el equipo antifraude (antimalware y antiphishing), el servicio de alerta temprana SANA y soy responsable de una-al-día. Hago las auditorías y consultorías relacionadas con Windows y suelo ser el que habla en las charlas y con los medios de comunicación. Programo puntualmente y dirijo el proyecto conjunto con Inteco sobre el malware y la confianza en hogares españoles.

De todo lo amplia que es la seguridad, ¿qué es lo que más te gusta o apasiona?

El malware y sus técnicas. Son las más avanzadas. Sus creadores sí que nos llevan años de ventaja. Lo que menos me gusta es el fanatismo y la publicidad engañosa. También me gusta escribir y «divulgar» dentro de mis posibilidades.

Tu vicio inconfesable es…

Inconfesable.

Bajo tu punto de vista, ¿está preparada España para luchar contra el cibercrimen?

Si me preguntas por los usuarios, no. Después de más de 20 años de malware y de mejoras técnicas para mitigarlo, los niveles de infección siguen demasiado altos, y normalmente sigue funcionando la simple ingeniería social.

Si me preguntas por las fuerzas del estado. Espero (y me consta) que sí.

Si me preguntas por las empresas… están en ello. Pero el concepto de APT, nacido más como excusa a la que acogerse que como amenaza real, da pocas esperanzas.

La anécdota más divertida que te ha pasado trabajando en esto.

Lo más divertido me pasa cuando no trabajo y estoy con mi hijo…

Afortunadamente. Pero sí, son muchos años trabajando profesionalmente en esto… y con mucha gente. Espero haber visto ya un poco de todo.

Incluso yo mismo he cometido unos errores que también son inconfesables. Pero las mejores anécdotas que recuerdo tienen que ver con las personas y sus egos desproporcionados.

El cibercrimen, ¿hacia dónde está avanzando?

A la profesionalización en la nube, como servicio. Al usuario ya se lo tienen ganado, no les hace falta invertir en eso. Cada vez es más complejo analizar malware, descubrir sus infraestructuras, etc. La lucha la tienen contra los analistas, las casas antivirus y los Estados. Contra ellos invierten sus esfuerzos. Y consiguen salir airosos.

¿Qué es lo que todavía no hemos visto en seguridad informática?

Una sociedad que entienda la importancia que están adquiriendo las comunicaciones y que sea recelosa de su seguridad, imagen y datos personales. Muy al contrario, la popularización de Internet ha contribuido a una prostitución de nuestra información para regocijo de empresas de marketing. Espero ver un cambio en este sentido en el futuro.

Un consejo para empresas…

Que simplifiquen y que, los recursos que decidan invertir en seguridad, sean en exclusiva para este ámbito.

Y otro para usuarios…

Que olviden los fanatismos. Que actualicen todos sus programas y se muestren algo más críticos tanto con la publicidad en general como con la del software de seguridad en particular.

No estoy en contra de los antivirus, ni mucho menos, pero sí les considero responsables de cierto efecto pernicioso que han ejercido con su publicidad. Si los antivirus fueran cinturones de seguridad, habrían conseguido que los conductores afirmasen locuras como:

«¿Estrellarme a 320km/h? ¡Imposible, pero si llevo un cinturotrónic 2000!»

Hay que potenciar el uso del freno y las medidas preventivas, y dejar el lugar que les corresponde a las medidas reactivas como el cinturón.

Existen excelentes herramientas integradas en Windows como para eludir una buena parte del malware. Los usuarios deben aprovecharlas y luego, instalar un buen antivirus.

Yolanda Ruiz

@yolandaruiz

Nuevo troyano contra Organizaciones no Gubernamentales tibetanas