Román Ramírez es uno de los expertos en ciberseguridad más reputados de España. Ha trabajado tanto para empresas nacionales como extranjeras y fundó la RootedCON, uno de los eventos de ciberseguridad más importantes del país.
Comentamos con él la actualidad del mundo de la ciberseguridad y también la situación en la que ve en esa materia al mundo automovilístico, actualmente y de aquí a unos años.
¿ES FÁCIL INICIARSE EN EL MUNDO DE LA CIBERSEGURIDAD?
No es una pregunta fácil de responder. Pero yo creo que es relativamente fácil iniciarse, cuando se empieza como ‘junior’, esto es, quien adquiere conocimientos y habilidades necesarios para trabajar en ciberseguridad. Eso sí, las empresas tienen que ofrecer posteriormente la oportunidad de entrar desde ese nivel, lo cual muchas veces ya es complicado.
Normalmente quieren contratar a alguien que ya sabe mucho. Es por eso que se puede hablar de una eficaz barrera de entrada a este mundo, para esa gente que cuenta con un perfil de ‘junior’. Por tanto sí, es más fácil iniciarse que luego ya situarse dentro del sector, superando esa barrera reputacional. O la gente te conoce y te permite acceder a determinados puestos de trabajo, o directamente buscan a gente con experiencia pero les ofrecen sueldo de novato.
Con respecto a crecer, ya se vuelve todo más complicado. O te especializas, o es muy complicado que llegues a ser muy bueno cuando el sector de la ciberseguridad es tan amplio y tiene tantas ramificaciones. Vamos que es fácil empezar, difícil acceder al entorno laboral, y muy difícil crecer dentro del él.
El mundo es muy incierto, y donde antes las cosas eran más o menos predecibles y se seguían patrones, hoy es difícil predecir y tomar decisiones.
¿QUÉ FORMACIÓN ACONSEJARÍA A QUIENES QUIEREN COMENZAR SUS ANDANZAS EN EL MUNDO DE LA CIBERSEGURIDAD?
Primero diría lo que le diría a toda persona, para enfrentarse a los próximos 30 años de vida: que aprendan a operar en la incertidumbre. El mundo es muy incierto, y donde antes las cosas eran más o menos predecibles y se seguían patrones, hoy es difícil predecir y tomar decisiones. En general, todo el mundo debería aprender a moverse en entornos inciertos, para desarrollar la capacidad de gestión ante la incertidumbre.
El entorno de la ciberseguridad tiene precisamente este alto nivel de inestabilidad, por lo que, para entrar a este mundo, debe sin duda poseerse esta habilidad. Posteriormente, la formación varía dependiendo de lo que se quiera hacer. Aquí hay que diferenciar al profesional de ciberseguridad del hacker. El primero puede seguir un proceso académico al uso y formarse, ya sea en la Universidad o en otras formaciones regladas. Es un trabajo que se puede sistematizar: gobierno, riesgo, controles generales, auditoría…
El hacker es más para mi como un francotirador digital, una persona muy afinada para lograr un objetivo, y va a por él como sea. Por tanto, el camino al aprendizaje es meterse en el barro: concursos, probar a hackear y desmenuzar cosas en casa… cuidando la barrera legal. Esta es ahora muy concreta, y traspasarla tiene consecuencias legales importantes. Pero esa mentalidad de hacker requiere romper cosas.
¿ESTAMOS CONCIENCIADOS EN ESPAÑA CON RESPECTO A LA SEGURIDAD? ¿HAY MUCHA DIFERENCIA DE CONCIENCIACIÓN ENTRE EMPRESAS, INSTITUCIONES Y LOS PROPIOS CIUDADANOS?
Creo que España está como cualquier otro país, a pesar de esa tendencia que tenemos a creernos menos o a tirarnos piedras a nuestro propio tejado. Está todo el mundo igual, España no se encuentra ni mejor ni peor. Puedes escuchar críticas de que las grandes empresas del IBEX-35 están más protegidas, pero las pymes no. Sin embargo, en otros países como Estados Unidos la situación es la misma. Se nos olvida que en otros países como el mencionado también hay pequeñas empresas, individuales, familiares…
Con respecto a las diferencias de concienciación, sin duda que hay diferencias. Incluso dentro de cada organización se dan distintos niveles. Por tanto, el esfuerzo debería centrarse en hacer entender a la gente las consecuencias de no preocuparse por la ciberseguridad. En prensa ya se ven a diario, por ejemplo, constantes ataques de extorsión y ransomware. Es por ello que la gente debe ser consciente de la mala decisión que es no dedicar esfuerzos ni recursos.
Además, yo no creo que haya que concienciar al usuario de Internet, pues cada uno hará lo que quiera, cuando quiera y pensando en beneficio propio. Debe orientarse hacia profesionales de ciberseguridad y hacia decisores. Un claro ejemplo es un administrador único de la empresa, al que se debe dejar claro que al tomar una decisión siempre asume un riesgo, y si le pasa algo a su empresa es muy poco probable que le afecte sólo a él.
Los coches autónomos me interesan desde el punto de vista de la ciberseguridad, porque las personas vamos a ser totalmente dependientes de estos vehículos, y quiero entender qué pasa ahí
¿TIENE USTED RELACIÓN CON HACKERS QUE TRABAJEN EN EL MUNDO DEL AUTOMÓVIL? ¿HA PENSADO METERSE EN ESTA INDUSTRIA?
Conozco a gente que se dedica a ello. Es un mundo apasionante, sin duda. Yo creo que es la nueva frontera, pues son ordenadores en movimiento. Este mundo me gusta, pero me veo ya mayor para meterme de nuevo en las tripas de algo. He mirado cosas, eso sí. Me gustan las ECUs, he mirado herramientas de protección y de ataque… pero meramente para saber de qué trata eso mundo.
Fíjate que ni siquiera me he sacado el carnet de conducir, pues nunca me ha interesado, Sin embargo, estoy ansioso por ver la llegada de los coches autónomos. Y es que me interesan desde el punto de vista de la ciberseguridad, porque las personas vamos a ser totalmente dependientes de estos vehículos, y quiero entender qué pasa ahí.
¿CREE QUE LA INDUSTRIA AUTOMOVILÍSTICA SE TOMA EN SERIO LOS PROBLEMAS DE CIBERSEGURIDAD?
Creo que son plenamente conscientes de lo que hay. Todos se han planteado, por ejemplo, el escenario de un terrorista secuestrando un coche autónomo y utilizándolo como ariete para matar. Además, he visto a gente comentarlo en varios eventos y charlas. El tema es el de siempre: hasta que no les aprieta una regulación, es poco probable que reaccionen mucho. De esto hay muchos ejemplos, como el de la normativa anti-incendios, que nadie se tomaba en serio hasta que ardió el Hotel Corona de Aragón en Zaragoza. Pues dos años después ya estaba plenamente implementada.
DE ENTRE LOS MÁS JÓVENES QUE SE INICIAN EN EL MUNDO DE LA CIBERSEGURIDAD, ¿VE TAMBIÉN INTERÉS POR CIBERPROTEGER EL MUNDO DEL AUTOMÓVIL?
Por supuesto, pero porque, además, es un mundo muy apetecible y curioso, divertidísimo. Alguna vez hemos hablado de gente hackeando vehículos y es algo increíble, algo que tiene mucho juego. Se ve a muchos críos con ganas de aprender. Y eso sin ni siquiera entrar en los patinetes eléctricos, que supongo que sabes que se manipulan con gran facilidad. Del mismo modo, todos los vehículos eléctricos de préstamo como el Emov son igualmente vulnerables. Creo que es cuestión de tiempo que veamos a gente sirviéndose de este tipo de automóviles para hacer gracietas. La verdad es que es un tema muy jugoso.
El sector de la automoción adolece de un problema, y es que algunas personas de dentro no entienden cómo funciona hoy el mundo
¿CUÁL CREE QUE ES EL SECTOR MÁS PUNTERO DE ESPAÑA EN LA LUCHA CONTRA LOS CIBERDELINCUENTES? ¿ ESTÁ LA INDUSTRIA DEL AUTOMÓVIL ENTRE LAS MÁS AVANZADAS?
Bueno, a priori siempre estará por delante el sector financiero, pues se juega mucho a nivel reputacional. Si la gente piensa que el banco no es un lugar seguro para meter su dinero, pues obviamente no lo va a meter. Por tanto, es muy puntero, y es la bomba cómo gestionan. Entre otros sectores muy avanzados se encuentra el de algunas ingenierías, pero siempre por detrás del financiero.
Yo creo que el sector automovilístico no, pero porque está empezando, en España y en el resto del mundo. Eso sí hay muy buenas iniciativas: metodologías de análisis, certificaciones de seguridad como la de EUROCYBCAR, lo que hacéis en HackerCar, lo que se hace en Cybentia, y otros proyectos.
Eso sí, creo que el sector de la automoción adolece de un problema, y es que algunas personas de dentro no entienden cómo funciona hoy el mundo. Un ejemplo es el de la vulnerabilidad que afectaba a varios vehículos, el caso de Jeep, por ejemplo. Todos los propietarios de dichos coches tuvieron que llevarlos a un taller para que los arreglasen. Sin embargo Tesla, de la que algunos se burlan, logró arreglarlo a través de un parche desplegado en remoto. Por tanto, el problema es cultural y es algo que cuesta mucho cambiar.
