23/06/2026

César Cid de Rivera

Customer Chief Officer EMEA, de Commvault

La aparición y posterior restricción de acceso a Mythos, a partir de un modelo de IA de Anthropic, ha devuelto a la actualidad política los riesgos de naturaleza cibernética. En este contexto, la conversación con César Cid de Rivera, Chief Costumer Officer de Commvault para los mercados EMEA, ha dado ocasión de introducir la cuestión de la gobernanza de datos. Las nuevas (y viejas recicladas) amenazas están haciendo que se aúnen las fuerzas de los departamentos de IT y de Seguridad, que no siempre han sintonizado. Más aún, los comités de dirección han tomado interés y ya se ven menos casos de un CISO dependiendo del CIO y cada vez más roles – el nombre es lo de menos – que reportan directamente al CEO.

César Cid de Rivera

La entrevista retrotrajo por momentos a otras anteriores, una con el propio Cid h y otra con el CEO mundial de la compañía, Sanjay Mirchandani , ambas del 2024. La frontera entre las empresas de ciberseguridad y las de protección de datos persiste y nada indica que se avecinen operaciones corporativas, pero lo cierto es que se ha creado un ambiente de colaboración del que da cuenta el acuerdo entre Commvault y CrowdStrike.

Creo apreciar una agitación inusual en las empresas que históricamente se han definido como especialistas de la protección de datos. Su oferta, en este caso la de Commvault, se está renovando, no sólo con productos sino también, eso parece, conceptualmente.?

Me obliga a recapitular y lo haré con mucho gusto [risas] pero tendré que dar un rodeo. Hace años, lo recordará, cuando hablábamos de recuperación instantánea o de recuperación operativa, se trataba de tener el dato lo más cerca posible, normalmente on-premise, para poder recuperar rápidamente un sistema que se hubiera caído o una tabla que hubiésemos perdido. No había en ello nada de ciberseguridad. De ahí pasamos a disaster recovery, que en resumen consistía en tener una copia secundaria en un sitio secundario […] Y con el tiempo empezamos a ver ataques que, esta vez sí, merecían ser comunes a los que atienden las empresas de ciberseguridad, entre los que alcanzó especial relieve el ransomware. Con lo que el concepto de Mean Time to Recovery (MTTN) ha dejado de ser válido, teniendo en cuenta que el dato que podamos recuperar, si no lo hemos tratado antes, va a estar infectado: entramos así en un bucle de recuperaciones con el malware – o el cifrado – dentro de distintas versiones. Por lo tanto, no podemos dar continuidad al negocio, que era y es nuestro objetivo.

Si hasta parece anacrónico aquello de HNDL (Harvest Now Decrypt Later). Estamos entrando en la era de la criptografía poscuántica, ¿Cuál es la propuesta de Commvault para asegurar esa continuidad de los negocios?

Nosotros sugerimos, primero y en lugar de operar de forma protectiva, pasar directamente a hacer todo en uno: integrar tus herramientas de seguridad con tus herramientas de protección; detectar y recuperar desde un punto único o de la forma más centralizada que resulte posible. Para ello, proponemos otro concepto de rigurosa actualidad, el de compañía mínima viable, cuya sigla en inglés es MVC (Minimal Viable Company). Se trata de identificar cuáles son los sistemas y los servicios más críticos para que el negocio pueda sobrevivir tras sufrir un ataque. Además, consideramos fundamental que las compañías asuman como un hecho que tarde o temprano un atacante descubrirá una brecha e intentará volcarla en su beneficio […]

Asumir la vulnerabilidad propia no debe ser fácil para los clientes. Pero ir a decírselo a la cara, ¿supone un giro estratégico de Commvault? Desde luego es bastante más que añadir una solución o una funcionalidad al catálogo […] Lo pregunto a sabiendas de que las compañías de ciberseguridad han dado varias vueltas sobre si mismas, se han transformado, mientras las de data protection han sido siempre más sosegadas.   

Ese razonamiento no condice con el cambio de paradigma que estamos viviendo. En mi opinión, la inteligencia artificial lo cambia todo. Este es hoy el factor crítico para que una empresa tenga éxito o no. Lo que está pasando probablemente hubiera pasado igual, pero con la IA se ha acelerado muchísimo. Veamos el caso de Mythos: de más de cincuenta días para detectar una vulnerabilidad, ¡se ha bajado a diez horas! Y si miramos las empresas, la aceleración se expresa en que estas cuestiones ya no son del ámbito de las TI: han llegado a los comités de dirección y así hasta los consejos.

[…] Acaba de decir que las empresas tienen que decidir cuáles son sus funciones mínimas para asegurar la continuidad.

Esa es la base. Si después de un ataque de ransomware intentas abordar todo a la vez, ansioso por recuperar la normalidad […] Ha habido un huracán, se ha caído mi TI de Madrid, pero afortunadamente tengo una réplica en Barcelona, recorto servicios y sigo adelante […] Ahora no se puede hacer, porque lo más probable es que haya duplicado el problema en lugar de esquivarlo como se esperaba. Todo lo que tenemos a disposición puede no ser de fiar. Este es otro punto central en su primera observación.

Y una oportunidad central para Commvault.

Una oportunidad descomunal. Llevamos preparándonos muchos años. Cuando lanzamos el Shift original [nombre del evento anual e itinerante de la compañía]  estábamos ante un cambio de marcha: del backup y la recuperación, pasar a la resiliencia. Desde entonces, hemos dado otro paso hacia lo que llamamos ResOps (Resilience Operations) como modelo operativo. He ahí un cambio estructural.

A propósito, ¿cuál es el punto de vista de Commvault acerca de Mythos, que es un salto cualitativo enorme ?

Mythos trae varios cambios a la vez. Por un lado, como herramienta de detección, tiene la cualidad de extrapolar todo lo que habíamos conocido hasta la fecha y ponerlo sobre la mesa. Nuestro punto de vista, lo que me pregunta, es que tenemos que hacernos a la idea de asumir las brechas como inevitables. Imagine: Mythos ha descubierto vulnerabilidades que llevaban quince años sin que nadie las hubiera detectado y sin explotarlas. ¿Qué habría pasado en caso detectarlas en su momento?  Por otro lado, la aceleración nos obliga a hacer preguntas difíciles, porque la explotación de vulnerabilidades no busca la hazaña de parar un sistema, esa mentalidad se acabó; ahora se busca sin disimulo el beneficio. Así que la pregunta más elemental que cualquiera de nosotros debería hacerse es esta: ¿estoy cubierto?

Y su consecuencia, ¿cómo reaccionar?

Hay que estar preparados con antelación, así de claro. Para esto se necesita tecnología del tipo Air Gap Protect, que permite tener datos inmutables a la vez que indelebles. Mucha gente se conforma con que sean inmutables, pero no basta con ellos si alguien decide borrarlos. Somos capaces de hacer una recuperación sintética limitada a los últimos cambios para volver al punto limpio más reciente. Aquí es donde entra la dimensión agéntica, que como es evidente complica enormemente la cuestión de las identidades. Por esto, nuestra aproximación a la IA se condensa en el asistente Arlie. No es un chatbot, sino un agente o el primero de varios, porque tiene capacidad para ejecutar una acción en caso de necesidad. Creo recordar que ya se ocupa del 15% de nuestros casos de soporte.

Un agente tiene ventajas, pero también genera suspicacias. Se está viendo en estos días.

En nuestro caso, con Arlie, el NPS (Net Promoter Score) de Commvault ha crecido 26 puntos, una ratio de satisfacción de clientes que, según el feedback que recibimos destaca especialmente entre las herramientas de gestión de postventa. Ahora bien, acerca de la suspicacia que puede provocar un agente: donde eso pase, puede deberse a que esté mal gestionado o a alguien lo utilice torticeramente, pero el crecimiento de su uso está a la vista, es exponencial. Lo vemos como algo positivo.

¿Quiere decir que un agente podría usurpar una identidad?

Si quiere una respuesta corta sería esta: si nueve de cada diez ataques de ransomware en la actualidad empiezan por la identidad, es fácil imaginar que su multiplicación tiene riesgos. Por eso mismo necesitamos herramientas de protección para impedir, detectar y levantar una bandera […] Igualmente que en el caso de un error humano, necesitamos herramientas para la recuperación instantánea y sintetizada de la información para volver al punto limpio cuanto antes y frenar la propagación. El problema no se limita a la abundancia de identidades no humanas, que ya es un serio problema, sino la ausencia de gobernanza, que remite a algo más básico: muchas organizaciones no cuentan con un inventario de identidades no humanas ni de las relaciones, dependencias o privilegios que les han atribuido.

Me quedo con una conclusión provisional que confirmaría mi primera hipótesis. La oferta de Commvault ha cambiado en los últimos años, en consonancia con estas tendencias que ha mencionado […]

Desde luego que ha cambiado. Por un lado, tenemos lo que llamamos Data Activate (antes, Data Rooms) que nos permite usar herramientas propias para el análisis de riesgo e identificar cuáles son los datos dentro de la IA que son clasificados, que podemos exportarlos y publicarlos para que la IA, en lugar de utilizar su data lake propio pueda utilizar el del backup; esto es fundamental, porque si la IA se viera  afectada por un ataque externo, no servirá de nada, el dato estará contaminado y por consiguiente toda la información.

¿Cómo eliminar esos datos del entrenamiento?

No, no se trata de eso. Con Data Activate, damos al cliente la posibilidad de entrenar su IA con loa datos que él mismo tenga bajo su control, de forma limpia y segura. Con nuestro sistema de clasificación de datos podemos decirle cuáles son confidenciales y no sería sensato ponerlos al alcance de la IA. Esto implica que cualquier dato que pueda ser erróneo va a parar a un repositorio. Si a esto añadimos la adquisición de Satori, en 2025, Commvault puede hacerlo, sobre todo con datos estructurados. Y luego está el papel de AI Protect y AI Studio, que son sendos mecanismos de protección de los agentes de IA.

Así dicho, suena prometedor […]

Le daré un ejemplo:  observo síntomas extraños o directamente estoy siendo atacado, ¿cómo deshago lo último que ha hecho esta IA, porque he detectado que ahí está el problema. Podemos hacer esa recuperación sintetizada no de todo, sino solamente de los últimos ficheros que hemos identificado, las últimas interacciones de ese usuario. En este supuesto, soportamos Databrick, Glacier y Pinecone, que es una base de datos vectorial para IA.

Recuerdo una nota de prensa vuestra que relacionaba el aniversario del RGPD y la obligatoriedad de notificar cualquier incidente cibernético con la inquietud que está provocando Mythos. Se decía que las empresas que no estén preparadas tardan una media de 24 días en recuperar su plena capacidad operativa, frente al requisito de notificarlo en 24 horas. ¿Qué propone Commvault?

Nuestro planteamiento ponela continuidad operativa  por encima de cualquier otra consideración. Conceptos actuales como compañía mínima viable o ResOps implican disciplinas organizativas: en lugar de las estrategia pasivas de backup o en el mejor de los casos reactivas – en las que aparentemente pensaba el legislador – la tendencia debería llevar a que la normativa se acomode a un modelo activo y continuo, Me refiero al RGPD, pero también a NISTt2 y DORA, que pese a ser más recientes tienen el mismo sesgo.

Esa postura de `asumir la brecha´ está muy bien, pero ¿es una discusión viva en las empresas?

Completamente. Todo el mundo es consciente de que no vale de nada tener un backup si está infectado. Lo que estamos viendo en el mercado es que hay actores maliciosos recopilando datos de empresas a las que han atacado, poniéndolos en un repositorio para que, supuestamente, les sean útiles en el futuro. Pero son datos que tienen carácter sensible hoy, ahora mismo, en este instante. Y es la hora de actuar.

 

Contacto Suscríbete RSS


Sobre el autor. Copyright © 2026 El dominio norbertogallego.com es propiedad y está administrado por Diandro SL. B85905537. Creative Commons