El encuentro anterior con Nir Zuk, en Madrid a comienzos de 2016, consta en el archivo de este blog. Palo Alto Networks, fundada por Zuk en 2005, cerraría meses después su décimo año fiscal con unos ingresos de 928,1 millones de dólares y unas pérdidas netas de 155,6 millones. En 2025, espera acabar el ejercicio –  el vigésimo – con 9.100 millones de facturación  y el beneficio neto rondaría los 2.600 millones. Son cifras significativas, pero sólo cifras: mientras aquella conversación versó principalmente en torno a lo que entonces se propugnaba como the next-generation firewalls, nueve años después, otro asunto se impone como pregunta: ¿qué ha cambiado en la estrategia de la compañía?

Nir Zuk

¿Aquella ambición de que un cortafuegos fuera capaz de impedir los accesos fraudulentos tiene vigencia hoy en día o es un anacronismo en la invasora era de la inteligencia artificial?

Ahora hablamos de next generation security y usamos esta definición para desglosar las categorías de nuestros ingresos anuales recurrentes, una métrica fundamental como bien sabe. Pero no es un eslogan. Quienes nos ocupamos de la ciberseguridad ofrecemos a los clientes tres cosas: visibilidad, higiene y la sensación de estar a cubierto de las amenazas. Es algo así como lavarse las manos, un gesto necesario que hacemos varias veces al día aunque no veamos suciedad en la piel. Nos acercamos tanto como sea posible a la superficie de ataque con el propósito de reducirla y proteger la identidad como criterio supremo para autorizar el acceso de determinadas personas.

¿Basta para que el cliente sienta que está a cubierto?

Confiamos en que se sentirá más tranquilo, en eso consiste nuestro trabajo. Pero en las TI hay ciertas rutinas que sólo pueden consumarse si la red está debidamente protegida, lo que por lo general se consigue mediante conexiones de comando y control […] Es prácticamente imposible proteger una infraestructura sin tener un cortafuegos. Accionamos las conexiones de comando y control cada vez que algún desconocido intenta implantar un malware en el sistema de nuestro cliente.  Y eso lo hacemos a través de la nube.

Entonces, ¿el firewall es un legacy del que no se puede prescindir?

Yo en ningún caso hablaría de legacy, palabra que parece sugerir que no somos capaces de desprendernos de un adversario. Hemos necesitado firewalls durante treinta años y seguimos necesitándolos hoy, sólo que de una manera diferente. El concepto mismo de firewall se encuentra en transición desde hace tiempo y se ha desplazado desde el hardware originario hacia el de SASE (Secure Access Services Edge) en el que confluye con otros componentes. En respuesta a su pregunta: desde luego que seguimos entregando muchos firewalls, pero ya no como hardware sino como servicio.

La industria de la ciberseguridad es técnica y financieramente robusta, pero parece estar atravesando una fase crítica o una transición ocasionada por la acumulación de novedades tecnológicas de envergadura: cloud, inteligencia artificial, computación cuántica […]

Dejando a un lado la cuántica que tiene otra historia, no creo que transición sea una buena definición de lo que está pasando en la industria. Es un enorme cambio, una disrupción dramática, sin ninguna duda. La primera razón del dramatismo es que los atacantes usan más y más automatización y a la vez usan más y más servicios de IA […] , lo que en la práctica hace casi imposible detenerlos en su intento de penetrar una infraestructura.

¿Imposible como no posible?

Bueno, es una batalla constante, en la que el vencedor no viene  predefinido. Pero es cierto que el software antimalware no siempre puede actuar contra atacantes automatizados así como el antiphishing no sirve contra ataques basados en IA. Nuestros adversarios están trabajando a tope para que, gracias a su dominio de la IA, las tecnologías comúnmente usadas para defender el perímetro sean ineficaces. Nosotros […]

Dicho así, suena a que estamos derrotados

No, no. Lo que he querido decir es que necesitamos una mentalidad diferente, un enfoque que sea lo bastante duro como para detener a los atacantes. Para eso tenemos que empezar por asumir que puede que ya estén dentro de los sistemas, pero nuestro trabajo es el mismo de siempre: detectarlos y paralizarlos. Me animo a decir que muchos lectores se estarán enfocando casi exclusivamente en la tarea de mantener a los atacantes fuera de su perímetro: lo lamento, pero en el mundo de la IA esa defensa perimetral ya no funciona.

¿Tienen los ciberdelincuentes las mismas armas que la industria de la ciberseguridad ? Podría preguntarlo a la inversa.

No. Le daré dos razones del porqué. La principal es más conceptual: los atacantes saben que nosotros sabemos que nunca tendremos una capacidad suficiente para detenerlos en el 100% de los casos. Lo que quiere decir que, si conseguimos parar 999 de cada 1.000 ataques, la mala noticia es que habremos dejado pasar uno, que tal vez parece poco, pero puede ser letal. La diferencia está en otra parte: hace cinco años, crear y lanzar 1.000 ataques era, para los delincuentes, una tarea muy difícil y muy costosa en dinero. Hoy pasa exactamente lo contrario: es fácil y barato. Si uno solo de ese millar de ataques ha conseguido entrar, sólo tendrá que esconderse durante unas semanas.

¿Y la segunda razón?

[…] es de orden práctico: la IA que usamos trata de detectar un ataque igual que lo hacíamos para encontrar un malware convencional, pero no es útil para detectar anomalías de comportamiento, como sí conseguíamos hacer en el pasado y sin tener IA. Ahora que hemos entrado en la era de la IA, muchas de las funciones de seguridad están basadas en datos, a diferencia de las reglas heurísticas que hemos usado durante décadas en las que los procedimientos (y también los adversarios) eran otros.

Disculpe, me he perdido […]

Con la IA podemos aprender sobre la infrastructura, podemos aprender cómo se comporta una organización al margen de las apariencias, cómo se comportan los usuarios, cómo lo hacen las aplicaciones y los sistemas […] No importa lo que haga el atacante, al final podremos encontrar anomalías,… porque siempre habrá una anomalía, esta es la condición básica de un ataque y por lo tanto nuestra IA tiene muchas posibilidades de encontrarla si llega a tiempo.

Al mismo tiempo, la industria de la ciberseguridad parece inmutable, sin que se vean muchos movimientos corporativos a excepción del surgimiento de nuevos entrantes que normalmente son nativos de la nube […]

Yo sí creo que los movimientos son visibles. Pienso en Palo Alto Networks como era hace veinte años: acabábamos de nacer y en aquel momento había otros nombres de prestigio en el mercado: CheckPoint, Cisco, Juniper, Fortinet, Symantec, McAfee,… Dependiendo de como se mida, hoy somos la más grande o una de las más grandes, en todo caso somos más grandes que el conjunto de esas compañías [nota:  de Cisco sólo cuenta la facturación por seguridad] . Un par de esos competidores han desaparecido y ha aparecido otro que no existía hace veinte años, CloudStrike. Básicamente, este es el paisaje actual.

¿Por qué no hay consolidación a la manera clásica: A se casa con B y juntos serán felices.

[risas] Si por consolidación entendemos una mayor concentración del mercado en manos de menos vendedores, es difícil de imaginar en el diseño actual. Me parece mucho más interesante considerar el papel que juega ML (machine learning) en ese fenómeno. En esta acepción, la IA necesita ingerir enormes volúmenes de datos y funciona tanto mejor cuantos más datos la alimentan. Si funciona mejor, el resultado será que el vendedor gane más contratos que, a su vez, le proporcionarán más datos  y estos harán que la IA funcione mejor, etcétera.

En ese esquema, ¿pueden crecer los competidores pequeños?

Es un contexto difícil para que una startup pueda competir, pero esto no es exclusivo del mercado de ciberseguridad. Y es aún más duro si tienes que competir contra la IA […] Ninguna startup tiene capacidad para comprar una cantidad de datos [sobre incidencias de seguridad] como los que han pasado por las manos de Palo Alto Networks durante estos veinte años. No digo que sea imposible, pero se hace arduo para cualquier compañía joven que nazca en estos tiempos. Lo que sí hay es muchas adquisiciones, a esto jugamos todos.

Y desde el punto de vista del usuario, ¿cuál es la diferencia entre una compañía generalista como Cisco, HPE o Dell, que cuentan con divisiones de ciberseguridad, y un especialista de los que llaman pure player?

La   experiencia demuestra que son mejores las segundas, ¿no? Basta comparar los ingresos de Palo Alto, Fortinet o CloudStrike con la facturación en seguridad de las empresas que ha nombrado. Por algo será […]

Hay un caso muy especial, Microsoft […] Es imposible ignorarla en el mercado de ciberseguridad.

Imposible, desde luego. Es responsable por una buena cantidad de vulnerabilidades, algo así como dejar al gato vigilando la leche, no sé si esta broma se usa en español. Nuestros clientes se quejan de que Microsoft sólo se preocupa de asegurar su propio entorno. Y la historia demuestra que tiene muchos problemas a la hora de protegerse a sí misma.

Ya veo, pero quería saber si Palo Alto Networks tiene algún acuerdo operativo con Microsoft, semejante al que tienen CrowdStrike  y otras compañías de ciberseguridad […]

No, no. Como regla general, nosotros no usamos Microsoft, porque tiene demasiadas vulnerabilidades[…] Preferimos trabajar con Google, aunque usamos un poco Azure y supongo que también Microsoft usará algunos productos de Palo Alto Network.

¿Y los otros hiperescalares?

Pues sí, tenemos relaciones muy sólidas con Google Cloud y con AWS y hemos tenido aproximaciones con algún otro.

Antes ha mencionado la computación cuántica. Sería un capítulo entero, pero ¿cuál es o cuál puede ser su implicación para la ciberseguridad?

Mi opinión sobre los ordenadores cuánticos se limita a su condición de amenaza potencial para los datos encriptados y específicamente para las claves que son necesarias para la encriptación. No parece que sean todavía una amenaza, pero podrían serlo más adelante. Y tiene razón: es todo un capítulo.

Desde hace un par de años, la estrategia de su compañía pone el acento en la plataformización, nombre que da al empaquetamiento de soluciones individuales. Un argumento que se esgrime a favor de la plataformización es la reducción de costes al reducir el número de productos necesarios. ¿Cree que es una  expectativa realista?

Estamos convencidos de que los costes pueden ser optimizados para obtener unos resultados mejores a cambio del dinero que desembolsan las empresas; nuestra plataforma permite ofrecer más funciones de ciberseguridad que si abordáramos los problemas mediante soluciones separadas. Al final, es una decisión de los clientes, pero  estamos viendo una aceptación muy satisfactoria de nuestro planteamiento