El malagueño Sergio de los Santos apenas supera los 40 años y es uno de los principales expertos en ciberseguridad a escala nacional e internacional. De los Santos es el jefe de Innovación y Laboratorio en Telefónica CyberSecurity & Cloud Tech, cuya sede central está en Málaga, y es también un apasionado de la escritura, hasta el punto de que ha publicado este año su primera novela, Marrón Cobalto, de la que ya se va a hacer una segunda edición y va a ser traducida al inglés.

De los Santos ha concedido esta entrevista a EL ESPAÑOL de Málaga en la que habla alto y claro sobre la importancia de la ciberseguridad y de la necesidad de que los niños la aprendan desde la escuela. 

Hay más gente trabajando en ciberseguridad que nunca, pero da la sensación de que los ciudadanos y las empresas seguimos vendidos ante el ataque de cualquier hacker. ¿Es así?

Creo que es solo una sensación. No estamos peor que hace unos años. En los años 2000, cuando se popularizó internet, no estaban preparados los sistemas operativos, ni las redes, ni los protocolos. Ahí la seguridad era mucho peor en todos los niveles, pero no había tanta digitalización y no se percibían tanto los fallos de seguridad. Solo se daban cuenta las personas que estaban dentro. Hoy sí se perciben porque tienen un impacto mucho mayor. Anteriormente tenías un virus en tu casa, pero ahora hay ransomware en las empresas. El fundamento es el mismo, pero el impacto es mucho mayor.

Los ciudadanos, aunque suene extraño, creo que estamos ahora mucho más protegidos por el sistema operativo, por la madurez de la tecnología, por conocimientos… Y en las empresas, sin embargo, ha cambiado porque al digitalizarse totalmente la dependencia es mayor. Las empresas se vuelven más vulnerables y más golosas para los atacantes, porque un virus puede ser una anécdota en una casa pero en una compañía son una irrupción en el negocio y una pérdida de dinero. Desde que los atacantes han encontrado el modelo lucrativo de ransomware se ha trasladado el foco de los ataques hacia las compañías.

Unos chantajes puros y duros.

Son chantajes en toda regla y una extorsión. Y los atacantes le llevan todavía mucha ventaja a las empresas porque tienen mucha experiencia. La digitalización ha cerrado ciertas brechas, pero ha abierto otras en los procesos. Por eso es muy importante que la digitalización, ir a la nube o el teletrabajo se hagan con la seguridad de base porque si no se cierran unas puertas y se abren otras. Pero no hay que perder la esperanza. Hay muchas más empresas que evitan ataques que las que son atacadas. Hay que apostar por la digitalización, pero por una digitalización segura en la que los procesos y la tecnología vayan de la mano.

Sergio de los Santos en un momento de la entrevista. Amparo García Málaga

¿Cuáles son los ataques más comunes?

Los ataques más comunes están siempre en las personas. En el caso de las empresas en los técnicos que gestionan los procesos. Casi todo tiene un componente de ingeniería social. Los atacantes han podido aprovechar algún fallo pero casi siempre hay un técnico al que le han robado el móvil, le han entrado en su ordenador personal, ha pinchado en un enlace que no era y ha dado sus contraseñas… Aunque haya vulnerabilidades muy conocidas siempre hay un fallo humano.

Hay empresas grandes que han estado varios días intentando resolver un ataque de este tipo.

Los atacantes conocen muy bien los fundamentos de las compañías y no levantan el ataque hasta que están muy asentados, muy dentro de la red. Cuando tienen totalmente el control y saben que va a costar mucho echarlos es cuando se descubren. Eso hace mucho daño porque para recuperarte del ataque hay que levantar de nuevo toda la información, todos los sistemas informáticos porque literalmente no sabes dónde están. Es un problema muy difícil de resolver y requiere una política de recuperación de la operativa que no todas las compañías tienen. Al menos todo el mundo es consciente ahora de que puede ser atacado y no se ve como algo que le ocurre a otro. Asumes que vas a ser atacado y casi siempre tienes un plan de resiliencia. Lo que define la fortaleza de la empresa no es no ser atacado sino la capacidad de recuperación.

¿Qué le recomendaría a una persona de a pie a la que intentan hackear?

Lo que normalmente se dice es que tengas un antivirus y tengas sentido común. Yo no creo que sea lo más adecuado. Yo siempre digo que actualices, que te preocupes por conocer el sistema operativo o el móvil y conocer qué técnicas de ataque hay porque en el 99% de las veces son las mismas. Está a la orden del día, por ejemplo, el secuestro del Whatsapp.

¿Qué es eso?

Es el ataque más común. Me puedo meter en la web de Whatsapp y decir que quiero que un número de Whatsapp se venga a mi número. Pero el propietario de ese número tiene que autorizarlo. Te llega un mensaje para autorizarlo. Si se lo das el atacante tiene toda la información y te secuestra el Whatsapp. Conocer el tipo de estafas que hay en internet es fundamental y cómo gestionar bien las contraseñas, para no tener siempre las mismas. No se trata de tener sentido común. No me conciencies, enséñame. Esa es la clave. Hay que dar a conocer unos pasos mínimos, concretos y prácticos que se puedan llevar a cabo para no sentirse totalmente desvalido.

Entonces ¿qué hay que hacer para intentar evitar ser atacado?

La primera es instalar siempre las actualizaciones. Sé que es un fastidio, pero hay que hacerlo. En segundo lugar, hay que tener claro que un móvil o el ordenador ya no es un elemento de ocio sino de trabajo y hay que cuidarlo, igual que vas a la ITV del coche. En tercer lugar hay que dedicar un tiempo a formarse para distinguir mínimamente lo que es una URL, un dominio… Por eso es muy importante la difusión de la ciberseguridad.

Sergio de los Santos. Amparo García Málaga

Pero a las personas mayores esto les suena a chino. Cuando me preguntan a mí siempre les digo que no toquen nada. ¿Es correcto?

Sí, jajaja. Normalmente los padres tiran de los hijos y es importante transmitir la prudencia. Eso ya es un control de seguridad, tener la prudencia de que no toques nada que suene raro, no dar datos a terceros, no reenviar mensajes… ya es más que decir que tenga sentido común.

¿Qué hacen en el laboratorio de innovación de Telefónica Tech en Málaga?

Nosotros llevamos el área de innovación de Telefónica Cibersecurity & Cloud Tech y aquí gestionamos la innovación abierta. Mejoramos los productos internos y los servicios y creamos tecnología propia. Gestionamos relaciones con universidades, formación o creamos valor a través de patentes. Llevamos nueve años en Málaga.

¿Por qué está en Málaga?

Cuando me llamaron de Telefónica para reforzar una empresa que tenían de ciberseguridad les dije que tenía que tener la oficina en Málaga sí o sí, que no me iba a Madrid, y lo respetaron. Hemos conseguido tener una empresa gigantesca a escala mundial y estoy muy contento y orgulloso de que seguimos en Málaga con una oficina.

¿Cuál de los proyectos que han hecho es más significativo?

Uno de los proyectos más chulos que hemos hecho es en la marina de Valencia. Una persona puede atracar un barco, identificarse en un poste y consumir agua y luz de una manera completamente segura. Antes se hacía con boli y papel. Ahora solo con el móvil se puede controlar.

Hay una clara apuesta por la ciberseguridad en Málaga con el centro de Google o el Centro de Ciberseguridad de Andalucía que abrirán el próximo año. ¿Qué opina usted de este proceso?

Pues estoy muy orgulloso porque en el año 2000 éramos unos pocos locos los que nos dedicábamos a la ciberseguridad en Málaga. Se daba la circunstancia de que en ese año había en Málaga dos empresas de ciberseguridad, algo raro porque en toda España había tres. Que esos mimbres hayan florecido de esta manera creo que demuestra que fue una apuesta adecuada. Hay dos hitos importantes. Uno fue la compra de VirusTotal por parte de Google y quiero pensar que aportamos un granito de arena al traernos la parte de ciberseguridad de Telefónica aquí a Málaga. Y hace dos años con la explosión de la Málaga tecnológica con el papel relevante de las startups, el parque tecnológico, la Universidad de Málaga con Francisco Javier López… Se ha sabido combinar el ecosistema.

Se han dado todos los ingredientes adecuados para que Málaga esté de moda, pero no está hueco ni es humo ni una burbuja. Hemos puesto un sello a la ciudad y hemos permitido que personas que quieren dar un primer paso en una compañía grande no se tengan que ir a Madrid porque eso supone un gasto grande. Eso nos permite tener en Málaga una industria potente que está conservando a los programadores y que permite hacer una vida aquí. Aparte del efecto de atracción de inversiones, el hecho de darle la oportunidad a la gente de que no tenga que emigrar está muy chulo.

¿Puede ser Málaga la capital europea de la ciberseguridad?

Yo creo que ya lo es. ¿Y por qué no a nivel mundial? Telefónica opera a nivel mundial y aquí tenemos empresas multinacionales que han asentado sus sedes no solo de ciberseguridad sino de innovación en general. Hay que tener una ambición superior. Si no la hubiéramos tenido desde el principio no habríamos conseguido nada porque hemos tenido que luchar contra la incomprensión de la ciberseguridad de los primeros años, la incomprensión de querer quedarse en Málaga porque, para mí, el éxito no era irme a trabajar a Madrid sino poder hacerlo desde Málaga… Una vez que todo eso se ha ganado, ¿por qué no aspirar a más? Hemos conseguido tener una marca de ciudad, hacerla atractiva y podríamos convertirnos en la capital mundial de la ciberseguridad.

Parece que falta cantera. ¿Tienen que aprender los niños a programar para que vaya calando esa apuesta?

Los niños tienen que aprender a programar y ciberseguridad lo antes posible. Mi hijo ha entrado en el instituto con 12 años, le das su primer móvil para que se pueda comunicar con sus amigos, tiene que utilizar el portátil para trabajar y nadie le ha dicho absolutamente nada de qué tiene que hacer. Ni siquiera aquello del sentido común. A mí eso me parece tan grave como no educarlo en cualquier otra herramienta porque son cosas que se usan a diario. Debería haber unos mínimos conocimientos y qué mejor momento que el instituto para empezar a tener personas formadas. Por lo menos en seguridad en las tecnologías.

De los Santos trabajando en un ordenador. Amparo García Málaga

En el caso de los mayores, hay trabajo pero faltan profesionales.

Faltan muchos profesionales porque la ciberseguridad fue una olvidada hasta que ha explotado y ya vamos tarde. Afortunadamente la oferta formativa es brutal. De másteres, de la escuela 42 de Telefónica, en la universidad… Pero hacen falta profesionales de una forma rápida y algunas formaciones llevan mucho tiempo. Hay también que adaptarse a las demanda. Las empresas americanas han llegado a España con el teletrabajo y hay que educar a las empresas españolas para igualar sueldos. Cuando todo eso se consiga vamos a superar el bache de carencia de profesionales.

Aparte de la ciberseguridad ha iniciado una carrera como escritor, publicando la novela Marrón Cobalto.

Tengo formación oficial en escritura y siempre he tenido ese gusanillo. Es una habilidad que hay que cultivar seas lo que seas, informático, técnico, etcétera. La habilidad de escribir y comunicarte bien es fundamental y a mí me ha abierto muchas puertas. Escribí una novela con mucho trabajo y no iba a hacer nada con ella, pero se me fue un poco de las manos porque una amiga la presentó a un concurso. No ganó, pero la editorial que publicaba al que ganaba y buena parte del jurado se empeñó en que quería publicarla porque decían que era buena. La hemos publicado y estamos en promoción.

¿Cómo está funcionando?

Muy bien. De hecho, ya me han dicho que va a haber una segunda edición y que se va a traducir al inglés para editarla en otro país. No me lo esperaba. Escribí por el puro placer de crear una historia, pero no tenía un fin concreto y el hecho de estar editada y que tenga buenas críticas por una parte me está desbordando y por otro lado estoy muy contento.

Es un relato duro.

Sí, pero no es difícil de leer. Va sobre el egoísmo y de cómo podemos llegar a ser prescindibles en las vidas de las personas en las que confiamos. Es uno de los golpes más duros que se pueden recibir y encima no darse cuenta. Eso te convierte en un verdadero perdedor. La historia relata algo que nos ha podido pasar a todos. Darte cuenta tarde te deja en una posición muy vulnerable.

¿Tiene más novelas en mente?

Es algo a lo que hay que dedicarle mucho tiempo, pero creo que volveré a hacerlo. Además el editor me lo está pidiendo y hay cierta presión. Es un hobby, pero es muy enriquecedor.