Julio San José, Managing Director de Digital Transformation & Cybersecurity de A&M.
Julio San José, el español que lleva 40 años peleando contra el crimen digital
Uno de los referentes españoles en gestión de riesgos tecnológicos describe cómo la inteligencia artificial ha democratizado el crimen digital: atacar a medida ya no requiere talento, sólo dinero.
Más información: China, Rusia e Irán llevan la confrontación geopolítica a una nueva fase: la de la guerra asistida por IA
Julio San José lleva cuarenta años en el mundo de la ciberseguridad, décadas que le otorgan una autoridad indiscutible y un conocimiento en profundidad del sector y sus devenires sobrevenidos con el tiempo. Ha diseñado chips para los militares, gestionado la ciberseguridad de la gran banca española y dirigido lo que fue, según él mismo, una de las primeras unidades de seguridad corporativa integral de Europa.
Ese es el resumen breve de una trayectoria profesional que ha ido en dirección inversa al de casi todos en su profesión. Lo normal es salir de la universidad, pasar por una consultora y acabar en la empresa. Julio San José hizo lo contrario: arrancó diseñando procesadores para las Fuerzas Armadas en los años ochenta, dio el salto a la banca cuando Unix empezaba a ponerse de moda, tuvo una startup -"aprendí lo lamentable que es tener una startup en este país"-, y acabó dirigiendo durante casi veinte años la seguridad de Bankinter, donde construyó junto a un ex capitán de los GEOS lo que considera la primera unidad de seguridad integral de Europa. Física y lógica bajo el mismo mando, sin fronteras entre el CISO y el responsable de protección de personalidades: "Construimos algunos de los centros de datos que puedes ver al pasar por la carretera de Burgos, tanto él como yo, desde cero".
Cuando las 'big four' empezaron a ponerle en su radar de fichajes, aceptó con una condición tácita: seguir haciendo el trabajo de fondo, no sólo quedarse en la mera presentación de estrategias y diapositivas vacías. Eso le llevó, tras años en EY, a Alvarez & Marsal, una firma cuyo ADN viene de la reestructuración y las operaciones corporativas, donde le permiten seguir teniendo las manos en la masa: "Aquí el socio no va al kickoff de presentación y al de cierre para invitar a comer. Aquí hacemos las presentaciones y hacemos el proyecto, porque ponemos expertise", afirma en entrevista con DISRUPTORES - EL ESPAÑOL.
El ahora Managing Director de Digital Transformation & Cybersecurity de esta firma se enfrenta a un tablero que, reconoce, ha cambiado de forma radical: la inteligencia artificial ha trivializado los ataques dirigidos, la regulación europea empieza a hacer responsables a los directivos y alguien, en algún lugar, puede que ya haya roto el cifrado que protege los sistemas balísticos de la OTAN.
Las multinacionales del mal
En los años ochenta, explica Julio San José, los delincuentes informáticos eran una élite técnica casi artesanal: gente que sabía de mainframes y tenía el valor de atacarlos. Luego vino el boom de internet y llegó la figura del ingeniero aislado con estilo -"estilo Mitnick", dice- que descubrió que podía monetizar una base de datos robada. Las mafias tradicionales, mientras tanto, seguían con sus negocios de siempre: prostitución, drogas, blanqueo. No habían encontrado el filón de la ciberdelincuencia.
La transición fue gradual, pero total: "Lo que hemos cambiado es que tienes enfrente infraestructuras absolutamente iguales a las tuyas. Pablo Escobar tenía 150 informáticos, un estadillo diario y contaba su balance. Ahora hemos migrado hacia las multinacionales del mal". Habla el experto de compañías con estructura, recursos humanos y contabilidad al uso, como cualquier otra empresa, cuyos empleados trabajan en oficinas aparentemente legales y cuyos informes internos circulan con discreción, porque los que no rinden cuentas tienen modos propios de resolver la situación.
Lo que ha acelerado esta profesionalización es, para San José, la inteligencia artificial: "Con la llegada de la IA se ha trivializado de nuevo el ataque dirigido. Antes, un ataque selectivo era carísimo para las mafias, pero ya no. He visto sistemas que hasta seleccionan al cliente objetivo en función de su rango de precios". Y es que la IA ha permitido a la delincuencia organizada escalar lo que antes requería talento humano especializado: el phishing creíble, la selección de víctimas, la personalización del engaño.
Para muestra, un botón: los deepfakes, detalla San José, ya no son ciencia ficción sino armamento estándar: "Vamos a tener que citar a Blade Runner, para mirarle a los ojos al interlocutor para ver si es un replicante o no". Porque la sofisticación en estas lides es extraordinaria, debido en gran parte a que las organizaciones criminales no tienen que cumplir la ley, con lo que se pueden bajar un modelo sin restricciones, mejorarlo, gastarse millones de tokens y atacar con automatización total: "Los defensores no vamos a esa velocidad".
La trampa de las noventa herramientas
Frente a este adversario, ¿cómo están respondiendo las empresas? Julio San José traza una distinción clara entre las que han cambiado el chip y las que siguen instaladas en la ilusión del perímetro. Rememora que, allá por 2015, el Banco Central Europeo le dio a la banca un mensaje que él considera el más útil que ha escuchado en décadas: deja de pensar en que nadie va a entrar y empieza a pensar en detectar y recuperar lo antes posible. Las compañías que han asumido ese principio van bien, dice. Las otras acumulan herramientas de seguridad como si el número fuese un activo.
Lo ejemplifica con una anécdota: asistió a una presentación ante un consejo de administración en la que el CISO expuso con notoria satisfacción la cifra de herramientas de seguridad desplegadas en la compañía. Una consejera le preguntó, dirigiéndose no al CISO sino al consultor presente en la sala: "¿Por qué esa cifra? ¿Por qué no el doble? ¿Por qué no la mitad?" San José celebra la pregunta. "Eso es exactamente lo que hay: una gran colección de herramientas dispersas que generan alertas dispersas, recogidas por sistemas dispersos, que cuando las ves todas juntas son las cataratas del Niágara. Y cuando eso es un ataque, cuando eso es un movimiento lateral, nadie lo ve".
Defiende el experto que las compañías que integran esa observabilidad, que detectan que un administrador de sistemas está tardando más que de costumbre en procesar paquetes por ejemplo, "van a una velocidad cuasi de la luz. Las demás son un cohete como mucho".
El problema tiene una capa adicional que San José señala a renglón seguido: la sofisticación técnica de la mayoría de los ataques exitosos es más bien modesta. "Salvo honrosas excepciones, no hay ataques sofisticados. El resto es que te conectas a un mercado por Telegram, compras una credencial y le das un palo a un banco". Cita de pasada lo que ocurrió recientemente en Brasil, donde un administrador del sistema de pagos centralizado del gobierno alquiló sus credenciales en un foro. El enemigo, en la mayoría de los casos, no necesita talento técnico: necesita acceso, y el acceso se compra.
DORA: cumplir o cambiar de verdad
El tsunami regulatorio europeo -NIS2, DORA, el GDPR de hace años- genera en Julio San José una valoración que evita los extremos fáciles, en tanto que no se postula ni como un entusiasta acrítico de la regulación ni un detractor de la misma. Lo que distingue a las normas útiles de las que no lo son es, a su juicio, si están pensadas para que las empresas subsistan o simplemente para que marquen casillas.
Cita a este medio una reunión con un alto cargo de la Agencia Española de Protección de Datos en la que, ante una sala de directores de seguridad, el funcionario dijo sin rodeos lo que todo el mundo cuchichea: "Cumplimiento, es decir, cumplo y miento".
Julio San José, Managing Director de Digital Transformation & Cybersecurity de A&M.
Esa cultura del cumplimiento cosmético, dice, es lo que DORA intenta romper, con un mecanismo que considera el único driver real del cambio: hacer personalmente responsables a los niveles directivos. "Cuando a alguien de arriba le va a caer la bofetada, las cosas cambian y ya lo estamos viendo". Salvado este punto, San José le pide a la próxima evolución regulatoria que se centre en la capa operativa, en la de cómo reaccionar ante un incidente inevitable: "Tienes que pensar en que tu compañía subsista pase lo que pase, aunque alguien te dé un apagón durante no sé cuántas horas. El director financiero tiene una cultura milenaria para eso, pero el CIO todavía no".
La paradoja de los backups sirve aquí como ilustración perfecta de la brecha entre la apariencia de seguridad y la seguridad real. Trabajando con un cliente, San José descubrió que las cuatro copias de seguridad contratadas, incluida la llamada "inmutable" -carísima, subraya-, estaban almacenadas en un intervalo de doscientos milisegundos entre sí, "que es lo que tardamos en parpadear. Había un instante en que estaban las cuatro online al mismo tiempo. Un ransomware descifra las cabeceras de los discos y te ha destruido las cuatro de golpe. Da igual lo que hayas invertido".
La identidad como problema sin resolver
La llegada de los agentes de inteligencia artificial abre, a ojos de Julio San José, el capítulo más urgente y peor resuelto de toda la disciplina: la gestión de la identidad.
No es un problema nuevo, pero la proliferación de agentes autónomos que actúan en nombre de personas lo vuelve urgente de una manera que antes no lo era: "Un humano es un humano y un señor con zapatos es un señor con zapatos. El principal problema de un sistema informático es el salto del mundo físico al lógico. Si en ese salto tú y yo somos la Dama y el Vagabundo, el banco nos va a llamar señor Dama y señor Vagabundo toda su vida".
En ese sentido, lo que le preocupa del protocolo MCP y del ecosistema de agentes en general es que, una vez dentro del perímetro, las barreras internas prácticamente no existen: "Yo vivo en una urbanización con una única puerta muy vigilada, con ocho vigilantes en turnos de ocho horas. Fantástico, pero una vez que has entrado hay trescientas viviendas y seguro que encuentras algún portal abierto", ejemplifica tirando de fina ironía.
Y llegó la cuántica
Por si todo lo anterior fuera poco, ahora llega la computación cuántica que amenaza los cifrados tradicionales en toda su magnitud y el aterrizaje de la pertinente criptografía postcuántica.
Es en este tema donde San José sostiene, sin concesiones, que alguien puede tener ya la capacidad cuántica suficiente para romper los esquemas criptográficos en uso. No sabe quién, pero sí está convencido que ese alguien está acumulando datos cifrados hoy, esperando el momento en que pueda descifrar retroactivamente todo lo que ha guardado; la estrategia conocida como "harvest now, decrypt later".
"¿Por qué guarda alguien miles de teras al día? Para tener una superioridad en cualquier momento", sentencia el experto, antes de explicar que los grandes actores tecnológicos están jugando al despiste entre ellos, declarando avances y retrocesos en público mientras los avances reales permanecen opacos.
"Yo creo que la industria está jugando al despiste. Google dice que sí pero que necesita dos años más. China dice que puede pero que no lo ha hecho". Por eso, lo que le quita el sueño no es el hardware cuántico, que avanza a paso lento, sino el software: "El software avanza a ritmo cuántico. Y en una de éstas alguien encuentra que puede hacer algo que ayer parecía imposible".
Aunque no quiere dar fechas, Julio San José ya anticipa un escenario de ruptura criptográfica con consecuencias sistémicas, quizás antes de 2030. Y cuando se le pregunta si espera equivocarse, la respuesta es honesta: "Yo también espero equivocarme. Pero lo que heredamos en los ochenta son claves de sistemas balísticos intercontinentales, los sistemas de identificación amigo-enemigo de la defensa aérea europea, la cúpula que defiende el continente, funcionan con secuencias de bits basadas en RSA. Nos enfrentamos a un problema increíblemente complejo".
Mientras tanto, Julio San José guarda en algún cajón un disquete de cinco cuartos con una copia del primer Netscape. En él está uno de los primeros fallos criptográficos que vio en su carrera: si pedías la conexión número 256 a un servidor, te devolvía la clave inicial. Han pasado cuarenta años y no han cambiado tantas cosas en la arena de la ciberseguridad como podría parecer...
