El CISO de Just Eat: “Ningún cibercriminal hace un ataque de día cero si puede evitarlo”

Just Eat es una de las principales plataformas de comida a domicilio a escala internacional, con un modelo de intermediación que le diferencia de otros competidores -como Deliveroo o Glovo- que gestionan de manera propia las entregas con sus propios repartidores. Además, es una de las más añejas en este (por otro lado joven) mercado. Y como enseña utilizada por miles de personas cada día, es un blanco ideal para ciberdelincuentes ávidos de hacerse con datos personales y bancarios de esos usuarios.

En el muro defensivo de Just Eat está Kevin Fielder, CISO de la empresa, quien defiende la obvia -pero no siempre respetada- premisa de que la ciberseguridad ha de construirse desde la base. "Los fundamentos tienen que estar bien puestos desde el primer momento en cosas como el control de acceso. Si no es muy complicado escalar la protección hacia aspectos más críticos", explicó durante una ponencia en el Cisco Live 2020. 

A partir de ahí, Fielder lo confía todo a la ayuda de la inteligencia artificial: "Tratamos de automatizar todo lo que podemos, eliminando tareas que un profesional tendría que repetir mil veces como el escaneo de la producción, la monitorización de posibles incidentes o la búsqueda de anomalías, que realizamos mediante machine learning", explica el directivo, quien puntualiza a su vez que toda esa tecnología permite "ayudar al humano para que éste pueda ocuparse de tareas de mayor valor".

Un equipo dedicado a la ciberseguridad, de alrededor de 25 miembros y ubicado en diferentes localizaciones del globo, que tiene sus miras puestas no en la creatividad de los delincuentes informáticos, sino en la educación de su propia plantilla. "Por mucho que tengamos una veintena de personas en la unidad de seguridad, siempre va a ser una proporción muy pequeña de la población en comparación con los cientos o miles de trabajadores de una empresa. Nuestra obligación es involucrar a todos los empleados en este tema, no sólo concienciarles, para que entiendan los desafíos a los que nos enfrentamos y los riesgos que suponen para la compañía", remarca Kevin Fielder.

De hecho, son esas amenazas vulgares pero efectivas, canalizadas a través de inconscientes trabajadores, las que preocupan sobremanera al CISO de Just Eat. Muy por encima, por ejemplo, de otros ciberataques más glamurosos, como los de día cero. "Nadie usa un ataque de 'zero-day' si puede entrar de otra forma en la organización", clama Fielder. "Son ataques que llevan mucho tiempo de preparación y, además, solo puedes usarlos una vez".