Qui pensi que la de Facundo Mauricio és una professió exclusivament de futur, probablement desconeix allò que ja es cou avui dia al recambró de moltes empreses, i no solament les grans corporacions. Al seu darrer llibre, CyberCEO (Editorial Marcombo), aquest divulgador i consultor en ciberseguretat argentí establert a Barcelona vol que els directius prenguin consciència de la necessitat d'aturar-se a pensar com "defensar digitalment el seu castell". Al ritme brutal que avança la tecnologia — i també els tecno delinqüents—, Mauricio sosté que un bon CEO és aquell que ha reflexionat sobre el disseny d'un bon pla de contingència previ, més enllà de fiar-ho tot a l'staff informàtic i als sistemes més innovadors quan la crisi sigui un fet.

Afirma vostè que els empleats són la primera línia de defensa d'una companyia davant els ciberatacs.

Moltes de les intrusions provenen d’extreballadors o persones que en algun moment van tenir un coneixement preferencial de l'organització i, posteriorment, utilitzen aquesta informació. Al final del dia no importa quant gastis en antivirus o firewalls perquè la majoria dels ciberatacs s’aprofiten del component humà. Formar a la teva gent, fer que se senti contenta i estigui compromesa acaba sent molt més productiu que qualsevol inversió en tecnologia. Que quan vegin un correu sospitós o un comportament estrany en els sistemes, ho reportin. Perquè, molts cops, un simple error en obrir un mail per part d’un treballador que no se sent implicat i fa clic allà on no toca, desencadena la crisi.

Les petites i mitjanes empreses són cada cop objectius més freqüents d'aquesta delinqüència digital?

Del tot. No hi ha xifres massa fiables, però setmanalment es registren centenars de petits atacs de ransomware que ni es denuncien, ni apareixen a la premsa. Sovint, les víctimes se senten culpables d’haver caigut a la trampa. Les empreses de mida reduïda solen ser fàcils d’atacar perquè tenen sistemes informàtics ambigus i personal poc preparat. I tampoc hi ha tants espais per denunciar. Les divisions de cibercrim se solen encarregar de casos grans, i a moltes ciutats ni existeixen. En termes de negoci, aquesta activitat resulta molt rendible pels estafadors: envien milers de correus gairebé a cost zero, potser algú “pica” i les possibilitats de ser atrapat són molt baixes. Sobretot si el responsable es troba en països remots o del tercer món on amb prou feines es persegueixen aquesta classe de delictes.

Per què considera que en aquesta fase inicial de popularització de la intel·ligència artificial, els ciberdelinqüents tenen avantatge?

Els criminals sempre han estat força pioners en l’ús de la tecnologia. Veurem ben aviat que aquestes IA ajudaran a redactar correus de pishing més creïbles que els actuals, i en la llengua que sigui. Ja no ens serà tan fàcil detectar que són falsos. O podran imitar la veu d’algú per trucar al seu agent de banca i dir-li que té una emergència i que executi qualsevol transferència financera. Les regulacions, generalment, arriben quan els problemes ja han sorgit, i això ha passat amb totes les invencions al llarg de la història. Tot plegat ens durà al joc del gat i la rata, i a utilitzar la IA per descobrir i reconèixer les estafes que estan fetes amb la mateixa IA.

”Ben aviat veurem que les IA ajudaran a redactar correus de ‘phishing’ més creïbles que els actuals, i en la llengua que sigui. Ja no ens serà tan fàcil detectar que són falsos”

Què pot fer un executiu o un directiu d’una gran empresa per evitar ser víctima de suplantacions en forma d’àudio o vídeo, com són els deepfakes?

La clau està en la quantitat de material sobre nosaltres que tenim a internet. El deepfake requereix un cert volum d’informació, ja que és molt més fàcil fer-lo d'algú que tingui desenes de vídeos a la xarxa i permeti entrenar el model per aconseguir una rèplica indistingible. Els CEO amb una presència digital forta haurien de començar a pensar a empescar-se una certa codificació en l'àmbit intern. Si la seva paraula té molt de pes, i qualsevol ordre serà executada sense dubtar, potser seria bo asseure’s amb el seu cercle més proper a l’empresa, i acordar prèviament alguna paraula clau per saber del cert que una instrucció en concret procedeix realment d’ell mateix. Per això cal un estil de lideratge i direcció més obert, i deixar espai al seu equip per a tenir pensament crític. Procediments tan senzills com confirmar el contingut d’un correu amb una trucada telefònica de verificació són molt interessants. No costen res i trenquen la cadena de l’atacant, que segurament no tindrà la capacitat de controlar múltiples mitjans. A llarg termini, però, quan enviïs un simple missatge de WhatsApp hauràs d’acompanyar-lo de la teva empremta digital per verificar que ets tu. Es tornarà difícil saber qui és el veritable emissor d’un missatge i s’hauran d’implementar aquest tipus de mesures.

Anem a parar a l’anomenada identitat digital universal. Al llibre s’adverteix del risc que sigui aprofitada pels governs per exercir-ne un control centralitzat que afecti la nostra privacitat. Inquieta una mica…

Per al públic en general és una preocupació relativament nova, però fa temps que aquesta idea plana en diferents àmbits, i ara es comença a percebre com un temor real. Si avui no resolem bé aquest problema, es podria generar un model certament distòpic d'aquí 20, 30 o 50 anys, amb conseqüències molt serioses. Ens juguem quin marc de llibertat deixem per a les següents generacions. Pot ser que creixin assumint que qualsevol activitat (una opinió que escriguin, una compra que facin, els llibres que llegeixin...) hagi d’estar rubricada amb la identitat digital i sigui monitorada pel govern de torn. No es tracta de demonitzar aquesta tecnologia que esdevindrà necessària, sinó d’avaluar què en farem i de quina manera.

Tornant al present, les nostres dades i les de la nostra empresa estan més segures al núvol o als sistemes informàtics propis?

Si l'empresa no ha invertit en tecnologia i no la considera un aspecte estratègic, estaran millor al núvol, sens dubte. Ara bé, si compta amb un departament informàtic i de ciberseguretat ben finançats, estaran més ben protegides internament. Avui qualsevol companyia és tecnològica, encara que comercialitzi bolígrafs. Les compres, les vendes, l’inventari, el màrqueting… gairebé tot el procés és tecnològic. I els directius han de començar a plantejar-se què passaria si un dia, per algun conflicte polític, una investigació judicial o una crisi econòmica, l’empresa deixés de tenir accés a les seves pròpies dades. Si som una organització establerta a Europa, però tenim els serveis de dades als EUA, podrem continuar operant si hi ha algun problema de connectivitat o si el proveïdor fa fallida? No dic que s’hagi de viure amb por, ni plantejo que es baixin les dades del núvol, però seria interessant, de tant en tant, fer un simulacre d’aquestes situacions. Les dades són la sang d'una companyia; si deixen de moure's, tot es deté. I llavors, com la reconstruïm? Les guerres s'han mogut cap a un tauler més digital i les empreses han d'adonar-se que els objectius militars no seran tant la secretaria de comerç o un ministeri i, en canvi, ho podran ser la planta de SEAT o una potabilitzadora d’aigua de Tarragona. I la porta d’entrada dels hackers potser no serà ni la mateixa companyia afectada, sinó a través d’alguna escletxa en la petita empresa que els instal·la els aires condicionats, per exemple.

“Les guerres s’han mogut cap a un tauler digital i els objectius militars potser ja no seran un ministeri, sinó la planta de SEAT o una potabilitzadora d’aigua de Tarragona, on els ‘hackers’ accediran per qualsevol petita escletxa”

Un atac com el que va patir l’Hospital Clínic de Barcelona aquesta primavera es podia haver evitat d’alguna manera?

És difícil criticar des de fora perquè sé que la ciberdefensa és una tasca complicada. L’atacant pot provar-ho infinites vegades a un cost baixíssim; de fet, pot tractar-se d’un noi de 14 anys que està provant coses fins a un grup organitzat i ben finançat. I només li cal encertar una vegada. Defensar contínuament, en canvi, resulta molt costós i ho has de fer sempre perfecte. Has d’invertir en el millor equipament i el millor personal, i això últim és difícil d’adquirir avui dia. Per qualsevol empresa és molt complicat trobar o formar talent en ciberseguretat, i per les mitjanes és directament impossible, encara que disposin del pressupost. La demanda és altíssima. Suposo que en el cas del Clínic, com en molts d’altres, els directius tenen la seva quota de responsabilitat. Jo recomano a les institucions que, almenys, tinguin algun assessor en ciberseguretat. En un futur pròxim aquest tipus de perfils sovintejaran cada cop més, i no serà molt diferent de tenir un gestor o advocat de confiança.

Vostè posa sota el focus els desenvolupadors tecnològics que, segons diu, cada cop programen de manera més ràpida i fragmentada, sense entendre els sistemes en el seu conjunt, fet que incrementa la seva vulnerabilitat. Fins a quin punt el software actual és part del problema?

No diria que es programi pitjor que abans, però la complexitat de produir software respecte fa 15 o 20 anys ha augmentat moltíssim. Ara tens centenars o milers de persones treballant en els mateixos sistemes i es fa quasi impossible conèixer-los bé. A més, abans els desenvolupadors trigaven més d’una dècada en formar-se, cursant una carrera pel mig. Avui hi ha bootcamps que prometen instruir-te en sis mesos i aconseguir feina. Què ha canviat? És veritat que la programació s’ha tornat una disciplina més senzilla gràcies a les eines que faciliten molt la feina, però alguna part de l’aprenentatge s’està quedant pel camí. I l’altre factor que afavoreix la vulnerabilitat és que actualment tot està connectat a internet. Fins fa poc, quan et compraves una rentadora, en tenies prou que sortís la roba neta. Ara, fins i tot el model més barat es connecta al wifi i et permet controlar-lo des d’una app. Això significa que aquestes empreses han de tenir un equip de desenvolupadors que generin una app per a Android, una altra per a iPhone... i com que no es tracta de la seva especialitat, doncs tendiran a fer-les al mínim cost possible, i aquí és on se sacrifica l’aspecte de la seguretat. Nosaltres, com a clients tampoc volem pagar en excés ni exigim estàndards de seguretat ni de manteniment. El resultat de tot això són centenars d’aplicacions extremadament mediocres.

“A qualsevol llar hi ha 5 o 6 electrodomèstics connectats a internet sense cap control. És l’escenari ideal perquè es converteixin en equips zombis que puguin robar-nos dades”

Potser no cal que tots els aparells de casa tinguin una aplicació i hagin de connectar-se a internet...

Exacte. A qualsevol llar tens 5 o 6 electrodomèstics connectats a internet sense cap control, amb sensors a qualsevol lloc i configurats incorrectament. Aquest és l’escenari ideal perquè es converteixin en equips zombis que puguin robar dades i permetre l’accés de tercers a les xarxes personals. Així com el sector de la construcció va implementar fa molts anys mesures de seguretat per als obrers i les lleis van fer responsables civils i penals als patrons i arquitectes quan es produïa algun accident, al món de les aplicacions haurà de passar quelcom similar. Quan la gent perdi les seves dades o la seva privacitat perquè l’aplicació de la rentadora o de l’aspiradora té forats de seguretat i es persegueixin legalment els creadors de les aplicacions i les empreses fabricants, llavors començaran a invertir recursos a programar-les millor.

Els usuaris podem fer alguna cosa evitar que els nostres propis electrodomèstics i gadgets es converteixin en enemics?

Les qüestions tècniques són tan efímeres que no té massa sentit donar consells. L’important és que la gent prengui consciència crítica sobre els perills i les conseqüències que comporta aquest nou món. La tecnologia ha avançat tan de pressa que no hem tingut temps de desenvolupar una intuïció sobre els riscos que venen associats. Quan va aparèixer el tren, molts camperols morien atropellats perquè la seva ment no concebia el significat d’una massa tan pesada movent-se tan ràpid i amb tanta violència. No advertien el perill, fins que l’experiència va convertir aquell desconeixement en sentit comú. Nosaltres amb prou feines havíem acabat de discutir el monopoli de Facebook i el valor que la nostra informació s’hi mostrés públicament, que ja estem parlant de deepfakes fets amb IA, i el mateix Facebook sembla que està desapareixent. La velocitat dels canvis tecnològics és tal que ens costa d’assimilar. Suposa un desafiament seguir-li el pas, però ho hem de fer perquè és una situació que ens interpel·la a tots.