En 2011 causó cierta perplejidad que Intel, que entonces era casi con exclusividad un fabricante de semiconductores [luego se ha diversificado en varias direcciones] comprara McAfee, compañía de ciberseguridad por la que pagó 7.800 millones de dólares, cifra que pareció inusual. En 2014, debido en parte a las extravagantes andanzas de John McAfee, fue rebautizada como Intel Security, aunque mantuvo la marca original para sus productos más conocidos. Sorpresivamente (o no tanto) en septiembre de 2016, Intel cedió el 51% del capital en favor del grupo inversor TPG. La última noticia es que en abril de este año, se anunció que la compañía seguirá operando bajo el nombre de McAfee Security.
Durante su estancia en Barcelona, el director cientifico de la compañía, Raj Samani, conversó con el autor de este blog. Fue antes de revelarse el caso WannaCry y por tanto el asunto de los ataques del tipo ransomware fue evocado sólo de manera genérica. Tras el gravísimo episodio, Samani publicó en su blog un análisis que complementa lo dicho durante la entrevista.
La catarata de malas noticias puede acabar por insensibilizar a los usuarios ante las amenazas de los ciberdelincuentes ¿Hay motivos para ser fatalistas?
En absoluto. En vez de sembrar el miedo para ganar una cuota de mercado, lo que la industria debería hacer es empezar por reconocer que debería trabajar más duro para resolver el problema. Estoy seguro de que podríamos hacer grandes avances mediante la colaboración ¿acaso no colaboran nuestros enemigos, los ciberdelincuentes? Hagamos nosotros lo mismo. En cada conferencia en la que hablamos, Chris [Young, CEO de la compañía] y yo mismo hemos planteado la plena disposición a cooperar con nuestros competidores […]
¿Qué respuestas han recogido?
[…] No puedo decir que estemos satisfechos. Tenemos el ejemplo del ransomware: al principio, muchos lo tomaron como una expresión menor, picaresca, un timo del que sólo podían ser víctimas unos cuantos incautas. Ahora vemos que el ransomware ha llegado a ser una industria articulada y global, en crecimiento.
Está a la vista. ¿Qué se puede hacer?
Lo primero es no ser complacientes porque le ha tocado a otro y no a tí. Puedo contarle algo que hemos hecho nosotros. El año pasado, junto con la policía holandesa e Interpol, hemos lanzado un sitio web desde el que se pueden descargar herramientas para recuperar los datos que han sido cifrados por los atacantes para exigir el pago de un rescate. Del proyecto participan como partners otras compañías, como la española ElevenPaths. El cálculo básico es que evitamos que más de 3 millones de euros fueran a parar a manos de delincuentes. Naturalmente, su tecnología está en evolución, y la nuestra también debería estarlo.
¿Es realista esperar que los competidores colaboren entre sí?
Tan realista como que está pasando ahora mismo: hay mecanismos de intercambio de información entre las compañías de seguridad, que son compatibles con el hecho de que compiten en el mercado. Si cada una hiciera la guerra por su cuenta, estaríamos derrotados […] Un ejemplo es la Cyber Threat Alliance, organización profesional a la que pertenecemos. Lo decía en un sentido prosaico, por así llamarlo: en febrero, miles de expertos en ciberseguridad participamos en la conferencia RSA, y cada año que pasa somos más. Si cada uno de nosotros dedicara unas pocas horas al año a acudir a las escuelas para dar charlas a los adolescentes, que ya son usuarios intensivos de la tecnología, creo que una mayor conciencia sobre el problema ayudaría a combatir ese fatalismo por el que me preguntaba. Lo triste es que los delincuentes nos están ganando una batalla sobre el futuro, y nuestro deber es retener ese control.
¿Cuándo dice futuro, quiere decir el futuro del mercado?
No, no. Hablo del futuro de la sociedad. Dentro de tres o cuatro años podremos comprar un coche autónomo; dentro de dieciocho meses serán corrientes los equipos médicos conectados por bluetooth… esta es la orientación en la que va nuestro mundo, altamente dependiente de la tecnología y, por tanto, altamente expuesta a las amenazas. La pregunta que debemos hacernos es si la industria de la seguridad estará preparada y a tiempo cuando esos dispositivos empiecen a salir al mercado.
Usted forma parte de la industria ¿Estará preparado?
Que yo esté preparado, o que lo estén mis hijos, es importante. Lo urgente es que la respuesta sea colectiva […]
En este contexto, cuando llegue ese momento ¿serán útiles las arquitecturas convencionales, los antivirus, los SIEM, la protección endpoint, los firewall, incluídos los de róxima generación…?
Pienso que seguirán siendo útiles, siempre y cuando acertemos a combinarlos. Le daré un ejemplo: los sistemas de una empresa pueden registrar entre 3 y 5 millones de eventos de seguridad al día, de gravedad variable. Son muchos, ¿verdad? Como es evidente que nadie puede gestionar por sí solo un problema de esa magnitud; ¿qué hacer? ¿usar un antivirus? Vale, nosotros vendemos un antivirus, pero la verdad es que ni el nuestro ni los de nuestros competidores pueden llegar a ocuparse de más del 70% de esos eventos… vamos a suponer que somos muy buenos y podemos llegar al 90%…¿qué pasa con el resto, que es donde puede estar la amenaza letal?
Ufff. Ante esa situación, ¿cómo está evolucionando el catálogo de soluciones de McAfee?
Nuestro catálogo ha pasado por un proceso de racionalización. El cambio más importante ha sido el reconocimiento de que no podemos tener una solución para cada problema. Con todos los respetos hacia los competidores, me atrevo a decir que ninguna la tiene. Por lo tanto, hemos decidido centrarnos en aquellas situaciones en las que somos muy buenos. Y al hacerlo, trabajamos dentro de un ´ecosistema` de alianzas.
¿Cómo funcionan esas alianzas?
Tiene todo el sentido del mundo, por esa convicción sobre la cooperación con el resto de la industria. Recientemente hemos desarrollado un estándar abierto e interoperable, que permite a distintos productos de seguridad interactuar con otros; pero no nos limitamos a desarrollarlo sino que lo publicamos online. Con esto queremos decir a todo el mundo que no tenemos una pretensión de control. Tanto una startup como un gran competidor, incluso uno de nuestros clientes pueden descargar la capa que está abierta gratuitamente, para hacer que sus productos interactúen con los nuestros.
Cuando Intel adquirió McAfee, prácticamente todo el mundo lo interpretó como un signo de que la seguridad es un problema sistémico, que no puede resolverse con soluciones fragmentarias. Ahora que ha cedido el control, se teoriza lo contrario, la necesidad de especialización. ¿Cree que hay espacio para soluciones de nicho?
Somos una compañía que siempre ha hablado de seguridad conectada. En síntesis, que todo producto de seguridad debe ser capaz de interactuar con otro producto. Como sabrá por experiencia, la interoperabilidad es un problema universal, no sólo en el campo de la seguridad. Dicho esto, siempre hay necesidad de un nivel de especialización: vamos a tener que enfrentarnos a escenarios nuevos, casos de uso específicos, que exigirán ser tratados con soluciones de nicho, y tendremos que especializarnos en ellas, sin la arrogancia de pretender que tenemos fórmulas para todo. El nuestro sigue siendo un enfoque sistémico, lo que quiere decir que no se apoya sólo en la tecnología, sino en los procesos de uso y en la formación de los usuarios.
¿La nube es uno de esos casos específicos?
Puede serlo. Cuando hablamos de cloud, queremos decir que usamos una cierta capacidad en un datacenter ajeno. Esto implica retos específicos, sin duda, pero no hagamos un mundo de algo que antes de llamarse cloud ha existido bajo otros nombres. Desde nuestro punto de vista, el modelo cloud es una oportunidad de hacer las cosas mejor, más rápido y más barato que internamente. No sé si usted lo sabe, pero nuestra iniciativa NoMoreRamson, que compartimos con varias policías europeas, está alojada en Amazon Web Services, y funciona fantásticamente.
¿Qué recomienda a las empresas que estén pensando en el modelo cloud?
Nos costaría encontrar una que no lo esté pensando con mayor o menor prisa. Según los estudios publicados, el 93% de las empresas tienen alguna carga de trabajo con ese modelo, y dentro de 15 meses representará el 80% de sus presupuestos de TI. Sería insensato por nuestra parte no responder a esa realidad. Hemos publicado un exhaustivo documento titulado Building Trust in Cloudy Skies.
Me he quedado con ganas de preguntarle por algo que se relaciona cada vez más con la búsqueda de soluciones de ciberseguridad; me refiero a machine learning…
Se lo agradezco, porque quería decir algo sobre ello [risas]. Invertimos sumas importantes en áreas como big data, analytics y machine learning. A mí, personalmente, me interesa mucho machine learning, pero a la vez me fastidia que algunas compañías usen el nombre de esta disciplina como recurso de marketing. Hace un año estaba de moda hablar de threat intelligence, en 2017 parece que toca hablar de machine learning […] Como le digo, estamos trabajando en ello y soy un convencido de que la industria tiene que innovar en este campo, entre otras cosas porque los enemigos lo están haciendo, y sería terrible que les diéramos la ocasión de coger ventaja.