Nos reunimos con la experta en ciberseguridad Marina Nogales en Barcelona. Aprovechamos que acude a la ciudad condal a participar como ponente en una mesa redonda sobre el tema, organizada por la ICC – International Chamber of Commerce. En el evento se acaba de presentar al público la “Guía de la ciberseguridad para los negocios”, que no solo implica a las empresas presentes (La Caixa, Telefónica, Marsh…) sino, en general, a todas. Y para nuestro asombro nos descubre la existencia de una “Internet oscura”, que la mayoría de la gente desconoce y desde la que se originan cibercrímenes a diario.
“La empresa “Kroll”, previa a K2, fue conocida en España por participar en la investigación de casos públicos como el de Luis Roldán”
“Los fundadores de k2 Intelligence, Jules y Jeremy Kroll, entendieron que en el mundo actual existe una cantidad de datos tan enorme que es imposible de manejar, así que había que aplicar tecnología y análisis de datos a la seguridad”
“Ofrecemos “due dilligences” pre-transaccionales. Cuando a un fondo le interesa comprar una empresa, es importante que pueda valorar ese aspecto además de todo lo económico, financiero y legal”
“Podemos determinar qué problemas de mala gestión o de fraude ha sufrido una empresa en el pasado antes de recomendar su adquisición”
“Sabemos seguro que el cibercrimen va a ir en aumento”
“Uno puede entrar en la red oscura y decir “quiero atacar a La Caixa” y otro puede decirle “te voy a preparar una herramienta sencilla para que lo hagas”. Incluso existen canales de atención al cliente”
Empecemos hablando de su empresa. ¿Qué me puede contar?
K2 Intelligence es una consultoría especializada en riesgos empresariales e investigaciones corporativas. Uno de sus fundadores, el norteamericano Jules Kroll, está mundialmente considerado como el “padre” de este sector tan concreto de servicios empresariales. Y nuestra empresa es la referencia internacional. Nuestro trabajo consiste en investigar y descubrir prácticas fraudulentas o corruptas, buscar activos o realizar “due dilligences” con todas las garantías…
Según parece, el señor Kroll es casi una leyenda
Hace 40 años ya se dedicaba a estos temas. Su empresa inicial, “Kroll”, fue conocida en España hace años porque participó en casos públicos y notorios. Se acordará seguramente del caso de Luis Roldán.
Claro.
La compañía creció y se hizo muy grande. Llegaron a tener oficinas en más de 60 países y prestaban servicios de muchos tipos, desde la seguridad física hasta el “background checking”. Llegó a ser una locura. Finalmente Jules Kroll vendió su empresa a la multinacional Marsh (que es una de las organizadoras de la mesa redonda donde entrevistamos a Marina). Como en la venta se estableció una cláusula de no competencia, Kroll fundó K2 con su hijo, dándole un enfoque más de “boutique”, haciendo énfasis en la tecnología y la ciberseguridad. Entendió que en el mundo actual existe una cantidad de datos tan enorme que es imposible de manejar, así que había que aplicar tecnología y análisis de datos.
Tiene sentido. ¿Qué perfil tienen los clientes de K2? ¿Qué les preocupa? ¿Qué les piden a ustedes?
No tenemos un único perfil, sino que depende de cada país en el que actuamos. Le explico que nuestra compañía ha ido abriendo oficinas sucesivamente en Nueva York, en Londres, Madrid, Tel Aviv, Ginebra, y Los Ángeles. En cada país el acceso a la información es distinto y las necesidades también. En EEUU, por ejemplo, trabajamos mucho con las grandes administraciones públicas. Aquí apenas trabajamos con ellas.
¿Cuánto de prevención hay en sus servicios y cuánto de “bombero apagafuegos”?
Tenemos las dos vertientes: prevenimos y solucionamos. Le diría que el 40% de nuestro tiempo lo dedicamos a la prevención y el 60% a solucionar problemas en curso. En el primer ámbito solemos realizar procesos de “due dilligence”, es decir, auditorías de situación en materia de seguridad. Cuando a un fondo le interesa comprar una empresa, es importante que pueda valorar ese aspecto además de todo lo económico, financiero y legal…
¿Y qué buscan en una “due dilligence” reputacional?
Podemos determinar quién es la empresa, quién es su equipo directivo, qué problemas previos de mala gestión o fraude han tenido en el pasado, etcétera.
Desde lo de Wikileaks, cada vez se habla más en los medios de casos en los que se franquea la seguridad electrónica de alguien. ¿Saben si esto va a ir en aumento?
Ojalá supiéramos que pasará en el futuro. Aunque sabemos seguro que todo esto va a ir, efectivamente, en aumento. Precisamente acabamos de participar en una mesa redonda en la que se ha hablado mucho de una “darknet” o “red oscura” de la que poco sabemos el común de los usuarios…
Intrigante.
Es una red que no vemos y en la que se esconden los hackers y los cibercriminales. Acceden a ella por diversos puntos. Algunos incluso habían sido diseñados para hacer cosas positivas. Le pongo por ejemplo la famosa red TOR, que fue creada por la Marina de los Estados Unidos para que sus agentes o también personas disidentes en regímenes dictatoriales pudieran comunicarse de forma segura y cifrada con el gobierno americano.
Hemos oído hablar de ella en los medios.
Al calor de ese cifrado, los hackers han aprovechado para esconderse y actuar de forma totalmente anónima. Al final han creado una especie de “mercado” o de “gran bazar”, donde cada vez es más fácil moverse y donde se encuentran servicios de todo tipo: uno puede entrar ahí y decir “quiero atacar a La Caixa” y otro puede decirle “te voy a preparar una herramienta sencilla para que lo hagas”. Todo se ha profesionalizado tantísimo que hay incluso canales de atención al cliente.
¡No me diga!
Se han dado casos en los que los hackers han secuestrado datos de una empresa y han proporcionado un contacto en donde poder pagar el rescate y ofrecer garantías de que se liberará el contenido retenido. En otros casos hay quien vende “malware” para infectar un software específico o un teléfono de un particular en concreto. Y si no funcionan, te devuelven el dinero…
De todo esto hay muy poco conocimiento. ¿Su compañía está haciendo políticas de difusión pública de estos casos?
En eso tenemos un hándicap con el compromiso de confidencialidad con nuestros clientes. Es el pilar de nuestro negocio. Ellos saben que pueden confiar en nosotros porque no hablamos de lo que hacemos con ellos. Sin embargo estamos preparando un par de comunicaciones públicas (o “white papers”) sobre estos temas que saldrán publicadas en los próximos meses.
Seguramente K2 Intelligence es una de las compañías más conocidas y respetadas en el mundo de la seguridad industrial y la ciberseguridad.
¿Qué encontraron en usted para contratarla?
Llegué de forma curiosa a la empresa. Antes trabajaba para SNC Lavalin, una multinacional canadiense de la ingeniería. La mayor compañía de aquel país actualmente. Ahí tuve mucha interlocución con instituciones públicas y privadas de alto nivel de todo el mundo: la Unión Europea, países en vías de desarrollo, etcétera. Participé en foros internacionales y me fui interesando por la geopolítica. Conocí a gente de K2 y me “cazaron”. Entré a trabajar como analista político-económico y fui progresando.
Antes mencionó que tienen una oficina en Tel Aviv…
Tel Aviv es un hervidero de nuestras ideas. Está considerada como la nueva “Silicon Valley” de la ciberseguridad. Ahí se dan cita un grupo de personas jóvenes y muy cualificadas que están desarrollado una serie de softwares que sobrepasan todo lo que podemos imaginar. En comparación, nosotros aquí estamos en pañales. Nuestro equipo allí está integrado por ex miembros de los servicios de inteligencia israelíes, cuyo líder, además, es el arquitecto de toda la estrategia de ciberdefensa del país. A diario bucean por la red, tratando de identificar si alguien está preparando algún ataque.
Lo que nos diferencia a nosotros de otras empresas es que hacemos artesanía. No tenemos soluciones estándar para todos los clientes, sino que trabajamos para cada uno con un equipo humano experto y herramientas específicas. Si los cibercriminales están hablando de atacar una empresa en la red oscura, lo detectamos.
Esto debe afectar sólo a grandes empresas.
Es cierto que nosotros no tenemos clientes entre el sector de las PYME, pero créalo: nadie es demasiado pequeño para recibir el ataque de un hacker. Estamos viendo casos de secuestro de datos con empresas pequeñas como despachos de abogados, consultoras de comunicación y pequeñas empresas de comercio online: son un botín muy “jugoso” para los criminales porque acumulan muchos datos y datos son lo que buscan. Solemos tener la impresión de que a nadie le importa los datos que podamos reunir y la verdad es que sí que importan: Tu cuenta de email, tu contraseña… son valiosos porque permiten acceder a otras cosas.
¿Qué tres consejos le daría a un particular a la hora de navegar de forma segura?
Número uno: no utilizar una misma contraseña para todas las cosas. Si alguien la averigua, estamos perdidos. Además no hay que utilizar palabras del diccionario como contraseñas, porque los hackers los utilizan para probar combinatorias y variantes.
Entendido.
Número dos: hacer copias de seguridad de los datos de forma regular. Lo de la nube es otro tema. Cada vez más la utilizamos, pero está bien guardarlas en casa y no en el mismo ordenador, sino en un disco externo. Piense que el “ransomware” o software malicioso que puedan enviarle ya es capaz de borrar sus copias de seguridad del ordenador y luego infectarle el sistema.
De acuerdo. ¿Y el tercero?
Número tres: ser muy consciente de lo que se abre a través del correo electrónico, aunque venga de un familiar. Si no se ajusta a algo esperado, si sale de la norma, lo mejor es no abrirlo, aunque la curiosidad nos consuma.
