Sergio de los Santos: «Confiamos demasiado en que la tecnología solucionará nuestros problemas y no es así»

-Menos de 45 años pero media vida dedicada a la seguridad en la Red. ¿Cómo llegó hasta ahí?

-Llevo 21 años como profesional en el campo de la ciberseguridad. Como suelo decir, más no se puede tener, porque no había industria, estaban los antivirus, pero compañías de ciberseguridad, a finales de los 90 en España, había dos: S21Sec e Hispasec, que sigue aquí.

-¿Por qué eligió la ciberseguridad?

- Eso tiene muy poco glamour... (Ríe). Pues porque Ismael Valenzuela me llamó para montar G2 Security y fue bien.

-¿No le seducía de antemano?

-No, no tenía una vocación previa. Había estudiado Informática, pero no tenía claro cuál iba a ser la rama a la que iba a dedicarme. Tenía que encontrar lo mío y lo mío llegó porque me lo pidieron, no llevaba 'cacharreando' un tiempo previo.

-Y con esa experiencia, ¿cómo cree que ha evolucionado la ciberseguridad en España?

-¿En cuanto a los usuarios o a las empresas?

-Empecemos por los usuarios.

-Hemos evolucionado menos que la industria. A otro ritmo. Desde el rechazo o el sentir que la informática no era algo que tuviera que ver con nadie hasta, gracias a los avances tecnológicos, abrazarla sin la responsabilidad que conlleva. No ha habido un proceso de madurez para ser consciente de lo que tienes entre manos y así surgen los problemas de privacidad y seguridad, que no las respetamos y somos conscientes de ello. Todavía no hemos llegado al punto de que nos preocupe lo suficiente, porque cuando a un usuario le dices 'Esto te va a costar un poquito de tu tiempo', suelen decirte 'Yo quiero que me cueste cero'.

-¿Qué aceptamos cuando aceptamos las 'cookies'?

-Cuando aceptas las 'cookies' estás guardando un archivito en tu navegador que otras muchas páginas pueden leer y eso significa que pueden saber dónde has estado, cuáles son sus intereses. En sitios como Amazon, por ejemplo, muchas páginas pueden leerlo, por eso te persigue un anuncio sobre cosas que has podido buscar en el pasado. Las 'cookies' de una página no tienen por qué ser malas, porque te permiten que una página se acuerde de ti cuando vuelvas a visitarla; pero las 'cookies' de terceros, de empresas que tienen acuerdos con otras páginas para leer esa información... Eso en privacidad tiene un coste. De todas formas no me parece lo más preocupante en ciberseguridad, ni muchísimo menos. En ciberseguridad hay problemas mucho más graves que las 'cookies'.

-¿Como cuáles?

-El manejo de las contraseñas, el manejo de nuestra identidad, de los móviles.

-Le escucho y me acuerdo del catedrático de Inteligencia Artificial de la UMA Francisco Vico, que no tiene teléfono móvil. Vico fue profesor suyo, ¿usted tiene 'smartphone'?

-Sí. Hasta hace poco no tenía Whatsapp, por ejemplo, pero ya he tenido que caer.

-¿No lo tenía por seguridad?

-No tanto por eso, como porque no estoy muy de acuerdo con el uso que se suele hacer de esa tecnología, sobre todo por parte de Facebook, de Whatsapp y de Instagram. No me interesa lo que me proporcionan, porque creo que no es tan relevante como parece, aunque al final he tenido que caer, también por presiones sociales. Pero, en cualquier caso, me preocupa mucho más el uso que hace la gente de su ordenador, de su teléfono, la poca importancia que le da a sus datos... Si recuerda, hace unos años era muy común que a la gente se le cifrara el disco duro. Eso fue una epidemia que se ha solucionado porque los atacantes han quitado el foco de los usuarios y lo han puesto en las empresas. El usuario se veía indefenso y lo aceptaba como si no tuviera más remedio.

-Como una fatalidad.

-Sí, justo eso. Algo contra lo que no podías hacer nada. Eso es un problema. El móvil, de nuevo, es un problema, porque no sabemos qué pasa dentro del móvil, no le damos importancia a la información que guardamos en él, no sabemos cómo poner orden en nuestras copias de seguridad... Y si bajamos la edad, la cosa es peor todavía. Mi hijo acaba de entrar en el instituto y ya usa Moodle, Classroom y móvil, pero no le han explicado nada. Nada. De cómo se tiene que mover en un foro, de cómo buscar en Google, de cómo manejar sus contraseñas... Nadie se lo explica y eso me indigna. Se les forma sobre cambios físicos, sexuales, etcétera que ocurrirán a esa edad, pero nada sobre tecnología, desde la ciberseguridad hasta las adicciones. Hemos hecho ubicua la tecnología, pero debemos asimilar los deberes y responsabilidades que conlleva. Confiamos demasiado en que la tecnología, por sí misma, cuidará de nosotros y solucionará nuestros problemas y no es así. La sobrevaloramos.

-¿Por qué cree que hemos asumido ese riesgo sin más?

-La tecnología se ha hecho tan transparente para evitar tener que preocuparnos por ella, que en el camino hemos perdido la concienciación sobre la ciberseguridad asociada, que no es precisamente transparente. Requiere dedicación. Debemos tomarnos en serio nuestra relación con la ciberseguridad igual que cuando somos conductores, nos consideramos conductores con unos conocimientos mínimos y una responsabilidad adquirida. Igual que entendemos los peligros básicos del mundo físico, el mundo digital necesita también dedicación y curiosidad. No vale con el sentido común o la concienciación. Falta formación. Y cuanto antes se comience, mejor, porque la concienciación sin motivación no sirve de nada, y motivarnos por las malas (cuando ya es demasiado tarde porque hemos sufrido un problema de ciberseguridad) no es una opción.

-Le he escuchado en varias charlas, como la última que ofreció en el foro #NextSpain, que los malos de la Red siempre irán por delante.

-Sí, los atacantes siempre irán por delante, pero no es un problema, debemos asumirlo y estar preparados para gestionar ese riesgo, porque no se va a eliminar. Nadie espera acabar con el crimen en la calle, pero sí conocer qué herramientas tenemos para que nos impacte lo mínimo posible. Pero, por ahora, lo que percibo es que el usuario no está por la labor de dedicar parte de su tiempo y de su conocimiento a llevar una gestión adecuada de su ciberseguridad y cuando digo esto me refiero a unos pocos minutos para pensar, por ejemplo, cómo llevas en orden tus contraseñas.

-Entiendo que no es aconsejable poner la misma en todos lados.

-¡Esa es una de las peores cosas que puedes hacer! (Ríe)

-Vaya... Bueno. Y con sus conocimientos, ¿nunca le ha tentado el lado oscuro?

-No, no, no... No sirvo para eso. Afortunadamente, cada vez ocurre menos, porque como nos hemos dado cuenta de que el talento tiene que salir por algún lado, desde 2013 o 2014 la mayor parte de las compañías han hecho que sea más atractivo el lado luminoso poniendo recompensas a los atacantes. En el año 2001 si avisabas a alguien de que tenía un fallo en su página web, casi te acusaban de delincuente. Eso lo he vivido yo. Actualmente, todos te dicen 'Si encuentras un fallo, te doy dinero'. Ese cambio de paradigma ha permitido que mucha gente dedique su talento a hacer el bien.

-Ya que habla de captación de talento, cuando Telefónica llamó a su puerta, dijo que sí, con la condición de seguir en Málaga. ¿Se arrepiente de aquella decisión?

-¡Para nada! Cuando decidí quedarme, la decisión vino porque haber trabajado en Hispasec y en G2 Security desde Málaga nos hizo quitarnos muchos complejos. Teníamos el conocimiento de lo que hacían otras compañías y vimos que no teníamos nada que envidiarles, ni en talento ni por el hecho de estar aquí. Haber vivido esa experiencia, ver el ejemplo de Bernardo (Quintero) cuando vendió la empresa a Google y se quedó hizo que, cuando me llamaron, decidiera quedarme aquí, porque estoy convencido de que se puede hacer absolutamente lo mismo.

-Quintero y usted surgen como pioneros de eso que ahora se llama el ecosistema tecnológico de Málaga.

-No sé. Creo que aquellas decisiones, además de por la cuestión familiar evidente, permitieron que poco a poco se fuera creando ese ecosistema, porque a partir de ahí, te llaman desde Madrid para contratar a alguien para cualquier puesto y puedes recomendar a un chaval, qué sé yo, de Teba, que en la vida se habría planteado trabajar en el área de Innovación de Telefónica Tech porque, por el motivo que sea, no se puede ir a Madrid, pero ahora comprueba que desde aquí sí puede trabajar. La barrera de entrada del sueldo es muy diferente si empiezas a trabajar aquí o en Madrid y he visto historias increíbles de gente que nunca se había planteado trabajar para una gran compañía. Luego, si quieren, que se vayan, pero es muy, muy importante tener aquí un ambiente de profesionales técnicos. Esa gente alimenta el ecosistema y una vez que entra en él puede ir saltando de una empresa a otra sin salir de Málaga y al final tienen un recorrido en el que pueden avanzar en sus carreras sin moverse de Málaga, mientras las compañías pueden nutrirse de ese talento. Entre todos hemos creado un ecosistema en el que todos nos nutrimos de forma sana.

-¿Y qué echa en falta en ese ecosistema?

-El riesgo en la inversión. Hay empresas establecidas, vale. ¿Pero qué pasa si quiero montar una empresa en Málaga?, ¿y si quiero hacer una apuesta por una 'startup'?, ¿qué posibilidades de inversiones tengo? No sólo en Málaga, en España en general, cuesta, mientras que en Estados Unidos, por ejemplo, a cualquiera con una idea enseguida le sale un 'business angel' o similar, aquí en España, o te vas o te cuesta mucho más, desde la propia burocracia para crear una empresa. Si hablamos del ecosistema tecnológico, un paso más sería la generación más sencilla de 'startups'.

-En esa generación de empresas emergentes puede jugar un papel crucial '42 Málaga', el proyecto de formación en competencias digitales que Telefónica abrirá en la ciudad el próximo mes de febrero.

-¡Oooh, eso está guapísimo! Me gusta mucho, porque te trata como luego te va a tratar realmente el mercado laboral; es decir, te voy a plantear el problema, no te voy a decir nada y te vas a tener que buscar la vida con tus compañeros para resolverlo. Eso, en el espíritu de los ingenieros, despierta una llamita que está muy chula. Esos chavales que tienen esa inquietud tecnológica, esa llamita, son los que van a gobernar el mundo.