Es el «hacker» más conocido de España. Y, desde este año, Chief Data Officer de una de las mayores compañías de telecomunicaciones del mundo, Telefónica. A Chema Alonso se le recuerda con gran facilidad gracias a su atuendo siempre informal, su largo cabello y su característico gorro que le aleja de la estética tradicional de ejecutivo agresivo de las grandes corporaciones. Desde hace varios años puso en marcha su particular cruzada contra la RAE al defender el término «hacker» como sinónimo de profesional de la seguridad y no desde un punto de vista peyorativo.
¿Se esperaba, hace diez años, llegar hasta aquí?
Ni me lo imaginaba ni me lo planteaba. Hace diez años estaba haciendo, más o menos, lo que estoy haciendo ahora, jugar con la tecnología a la escala que podía en aquel entonces. Fue una sorpresa cuando sucedió y una grata sorpresa.
En los últimos años, las grandes empresas han intentado captar talento del área de la tecnología. ¿Esto va a más?
El caso de Telefónica es un caso singular porque es una empresa tecnológica. Aquí en España llama más la atención personas muy técnicas como es muy caso lleguen a puestos de responsabilidad. En otros países donde la industria tecnológica es mucho mayor y el ecosistema es más amplio, como Estados Unidos, es más normal que los técnicos se encuentren en puestos de toma de decisiones de la compañía. Y, hoy en día, una buena decisión sobre tecnología puede hacer que tu compañía valga mucho o, una mala, puede hacer que desaparezca. Hemos visto en las primeras empresas que más valor tienen en el mundo de la economía han pasado de ser petroleras a ser tecnológicas netamente. Y otras que no han sabido subirse a las nuevas olas de disrupción tecnológica han desaparecido, han entrado en bancarrota o son irrelevantes hoy en día.
¿La superviviencia de las empresas pasa por su reconversión al mundo de la tecnología?
La tecnología tiene que ser el ADN de tu compañía si no no vas a subsistir en el nuevo mundo. Hablamos del Big Data y la toma de decisiones. Las compañías que dentro de cinco años sigan basando su negocio en intuiciones sin analizar todos los datos seguirán cometiendo errores. La capacidad que te da el análisis de grandes datos permite que puedas reducir el margen de error. Pongo siempre el ejemplo las rutas en coche. Yo sé cómo ir de aquí al centro de Madrid de memoria. Porque me lo conozco. Como tengo experiencia y datos anteriores también dependiendo de la hora puedo decirte dónde es probable que haya más tráfico. Entonces, dejo de utilizar el conocimiento en base a la distancia y aplico distancia y experiencia. Pero cuando hablamos de Big Data hablamos de que yo no me voy de aquí a la plaza de Callao sin utilizar una tecnología como Waze o Google Maps porque lo único que me va a garantizar en tiempo real que me diga la velocidad, si ha habido un accidente, las rutas más cortas son estas aplicaciones. En el mundo de los negocios funciona igual. Por mucho que tengas intuición y experiencia, si no empiezas a ser una empresa que utiliza la tecnología para tomar decisiones van a desaparecer.
«Las compañías que dentro de cinco años sigan basando su negocio en intuiciones sin analizar todos los datos seguirán cometiendo errores»
Ser «hacker» conlleva una cierta responsabilidad. ¿Cómo se puede caer en el lado del mal?
Un «hacker» no tiene nada que ver con cometer delitos. Es un investigador que lleva los límites de la tecnología siempre más allá. Es verdad que los más conocidos somos los que trabajamos en seguridad porque es lo más llamativo. Sí que existe ese punto de inflexión en el que tú eres capaz de saltarse el sistema de seguridad de una compañía y tienes que ser consciente que estás cometiendo un delito que no debe hacerse. La ética profesional de cada uno se debe aplicar a todas las partes de la vida.
¿Cree que la gente entiende que un «hacker» es un profesional y no un ciberdelincuente?
El acto que tú hagas es una decisión personal de cada uno y no te identifica como colectivo. Los «hackers» son investigadores de seguridad, los cibercriminales son los que cometen delitos y los «hacktivistas» son los que indican ideología por medio de las técnicas de «hacking». ¿Conseguiremos cambiar la concepción del término? Creo que hemos avanzado mucho en España. Es una labor que debe ir calando poco a poco en la sociedad, llamar a las cosas por su forma y no criminalizar a los que trabajamos con la tecnología.
¿Nos encontramos inmersos en la una ciberguerra mundial?
La seguridad electrónica se ha utilizado siempre en todas las guerras. Antes eran con radio con sistemas para anular radares. Hoy hablamos de ciberespionaje porque se utilizan a través de internet. Y llevamos muchos años viendo incidentes. Si analizamos el historial de veces que se han acusado las principales potencias de actos concretos es muy grande. El problema es que las reglas que tenemos de la guerra hoy en día a veces se hace desde direcciones IP que no permite hacer una atribución 100% segura. En estos años hemos visto una especie de guerra fría en donde los países han sido muy activos.
Muchos conflictos entre países se dirimen en el ciberespacio actualmente. ¿Adónde vamos a llegar?
A donde ya estamos. No creo que vaya a cambiar. Todos los países tienen sus cibersoldados. En España tenemos a equipos y militares entrenados para estas disciplinas, pero nos encontramos en un entorno en el que las operaciones en internet pueden ser muy dañinas. Cualquier infraestructura hoy en día de una ciudad funciona, en mayor o menor medida, con sistemas informatizados. Si pensamos cómo eran las huelgas hace años lo que se intentaba lograr era cortar el transporte porque era lo que movía un país. Hoy en día hay que cortar internet si no la sociedad sigue funcionando. Si un atacante, como el de Stuxnet -un gusano informático que apunta a sistemas industriales descubierto en 2010- es capaz de manipular las centrales de enriquecimiento de uranio en Irán o si alguien es capaz de colarse en una central potabilizadora de agua del Reino Unido y manipular los componentes, puede ser una agresión mucho mayor que una bomba. Y, por supuesto, los ataques a infraestructuras críticas pueden provocar víctimas. O imagínate que un atacante anule los frenos de un autobús o que alguien sea capaz de suspender los ordenadores que controlan los sistemas de monitorización de enfermos de un hospital.
Nos adentramos a un mundo hiperconectado donde el concepto de «Internet de las Cosas» comienza a estar presente en la sociedad. ¿Corremos algún peligro?
El último ciberataque masivo que provocó que se bloquearan varios servicios de internet ha puesto de manifiesto algo que todos los que trabajamos en seguridad sabíamos desde hace mucho tiempo. Era tan evidente que teniendo tantos dispositivos conectados y con tan bajo nivel de seguridad y tan pocos mecanismos de control que iba a suceder. Era el siguiente lugar que cualquier atacante, con muy poco esfuerzo, pudiera conseguir un gran arma.
En el caso de España, ¿estamos preparados para un ataque a infraestructuras críticas?
Estar 100% preparado nunca se está. Y lo podemos ver en muchos casos. España ha estado haciendo los deberes para protegerse y se han dotado de regulaciones, presupuesto, organismo para hacer un trabajo serio. La ventana que necesita un atacante es tan pequeña que asumir que no vamos a tener problemas es imposible. Y lo que tenemos que hacer es asumir que nuestros sistemas están preparados para responder en el caso de que haya un problema de seguridad o nos estén atacando.
¿En qué nivel de madurez sobre seguridad informática se encuentran las empresas españolas?
A nivel nacional, estamos muy bien en la idea de detectar conflictos. España está entre los países que más detectan los ataques.
¿Tiene España grandes profesionales en esta área?
«Hackers» buenos tenemos muchos. De hecho los exportamos. Siempre digo que voy a ser el mejor «hacker» de España porque todos los demás nos los roban. Profesionales españoles hay muchos que están en grandes empresas tecnológicas como en Facebook, Twitter, Microsoft, Google o Uber. Y algunos en niveles ejecutivos. Nuestro país ha formado grandes profesionales y debemos seguir dándoles cariño.
Los «hackers» son investigadores de seguridad, los cibercriminales son los que cometen delitos y los «hacktivistas» son los que indican ideología por medio de las técnicas de «hacking»
¿Qué tendencias a nivel de seguridad informática marcarán los próximos años?
A día de hoy podríamos decir que estamos dándonos cuenta que los ataques dirigidos que hablábamos hace años ha empezado a pasar. Hemos visto cómo se han publicado la base de datos de usuarios de Yahoo, robos a entidades bancarias. Hemos visto que se ha popularizado los ataques por «ransomware» o secuestro de datos, como la explosión del «Internet de las Cosas» ha abierto la puerta a los ataques de denegación de servicios distribuido a escala a la que internet no estaba preparado. Y hablamos de ciberguerra y hemos comprobado cómo todo se ha cumplido. Ahora nos enfrentamos a nuevos retos. El primero de ellos es la privacidad, algo que con las técnicas que con las técnicas de Big Data hay que tomárselo muy en serio. Las capacidades de sensores y de las herramientas y cantidad de datos que están tomando de las personas y ciudades es tan grande que el perfilado que se puede hacer con ellos es tan fino y ajustado incluso mejor de lo que una persona puede creer. Se puede saber todo de ti. Eso es lo más sensible de la privacidad de su ADN y si no empezamos a tener cuidado los límites y controles nos vamos a enfrentar a unos escenarios muy peligrosos en breve. Y el segundo de los retos que me preocupa es la capacidad de la Inteligencia Artificial. Estamos llegando a límites en donde analizando los patrones de una persona son capaces de tomar decisiones y hacer de la vida un poco más cómoda. ¿Qué pasará cuando la Inteligencia Artificial llegue a la capacidad humana y la sobrepase? Una de las cosas a la que nos vamos a enfrentar es la educación y la ética con la que dotemos a esas Inteligencias Artificiales que van a ser parte de nuestra vida en los próximos cinco años. En ese tiempo los sistemas cognitivos van a aparecer en cualquier rincón de nuestra vida y vamos a tener que preocuparnos por los riesgos que tendremos con ellos. Estamos llegando a la inteligencia del ratón.
Ahora que se está desarrollando esta tecnología, ¿hay que dotarle de ética?
Hablaba Isaac Asimov de las reglas robóticas. A lo mejor esas célebres reglas hay que aplicarlas ya o, por lo menos menos, empezar a plantearnos cuál es el riesgo que esas Inteligencias Artificiales empezaran a controlar nuestro tráfico, los hospitales o las empresas, porque lo que va a suceder es que en pocos años iremos a un centro hospitalario y habrá una Inteligencia Artificial, que hablarán entre ellas, y tenemos que empezar cuál es la ética que le vamos a poner.
Hablemos del Big Data. ¿Qué cara menos amable tiene esta tecnología?
Estamos en un mundo en el que buscamos la manera para entenderlo. Y suele proyectar su pensamiento en las acciones de los demás. La gente, en su foro interno, intenta matizar el comportamiento y la realidad es que no tiene porqué ser así. Cada persona es un mundo y cada decisión que toma se basa en su mundo interior y en su percepción que ellos tengan del entorno. Si fuéramos todos iguales no tendríamos tantos países, con tanta diversidad de leyes, con tantas morales y religiosos. Hay un mundo que tenemos que descubrir y, evidentemente, el Big Data va a permitirlo. Las redes sociales probablemente tienen mucha más información de la sociedad que los propios órganos de gobierno.
¿Hay que temer, entonces, acerca de quién tiene nuestros datos?
Eso es un debate que en Telefónica nos estamos planteando. Cuál es el control que debe tener una persona de todos esos datos y cuáles son los límites que les ponemos a esas grandes empresas que recolectan tanta información de los individuos. Que una empresa conozca todos esos datos de los ciudadanos de España y los tenga perfilados por diferentes rangos puede llegar a controlar un país.
¿Todo lo que se publique en una red como Facebook puede ser público?
Todo lo que pongas en internet o en Facebook algún día será público es una afirmación que hago en base a diferentes estadios. El primero de ellos es que internet es una máquina de copiar bits. Cuando envías un correo electrónico a una persona ese mensaje se ha copiado en muchos sitios. La posibilidad de que se produzca un fallo en alguno de esos sitios es muy alta. También es probable que algún día sufras un problema de seguridad y roben tus credenciales. Pero, además, los sistemas de cifrado que utilizamos hoy en día serán inútiles con los métodos de las nuevas tecnologías en unos años. No es algo que solo lo copias, sino que hay que garantizar que vaya a ser protegido a lo largo de la eternidad, algo muy difícil de lograr. En el futuro los chavales accederán a los grandes repositorios de datos para entender por qué la sociedad hizo lo que hizo y será algo que acabará siendo regulado como estudiar los papiros egipcios.
Cerraduras inteligentes, coches inteligentes... ¿Estamos demasiado expuestos?
No, creo que tenemos más ventajas que inconvenientes. También vemos corazones inteligentes, prótesis que te permiten andar, sistemas de visión para que ciegos puedan llevar una vida normal, coches conectados que reducen el número de accidentes. Tenemos muchas tecnologías que nos hacen un mundo mejor, pero tenemos que intentar no frenar esa innovación y dotarle al máximo de unos altos niveles de seguridad. No hay que parar la innovación, hay que seguir apostando por ella, seguir pensando que internet nos ha abierto una vida mucho mejor, pero dotarle de valores para que no se nos olvide que lo hacemos para que las personas vivan mejor.