Amador Aparicio de la Fuente es CISO en Zunder, empresa palentina de referencia en España y el sur de Europa que opera puntos de recarga ultra- rápida para coches eléctricos. Lleva más de 15 años en el mundo de ciberseguridad ofensiva y desde hace un tiempo se ha convertido en responsable de ciberseguridad. “Durante los últimos 15 años de mi vida ha estado haciendo hacking ético, buscando vulnerabilidades antes de que los ciberdelincuentes las exploten”, nos cuenta Amador Aparicio, que aplica toda esta experiencia en su rol de CISO, un papel que, según el directivo tiene dos vertientes: por un lado la más normativa, que es “la gestión de la información”, y por otro, el conocimiento tecnológico. “Tanto un responsable tecnológico como un responsable de ciberseguridad “deben tener una base tecnológica para entender los productos, para entender las amenazas. Por mi experiencia, primero apostaría por la parte tecnológica, porque al final la normativa se aprende”, asegura.
Habiendo prestado servicios de hacking ético, “tengo la experiencia de haber visto empresas vulneradas”, lo que hace que se sea “muy consciente de las consecuencias que puede tener una organización cuando sufre un ciber incidente”. Y es lo que le lleva a resaltar que, entre las cualidades de un buen CISO, está el “comprender las amenazas y los desafíos del mundo digital en el que estamos”. No es la única. Añade Amador Aparicio el contar con inteligencia emocional para tener habilidades de liderazgo, porque “para ser un buen CISO tienes que ser un buen líder, y para ser un buen líder pues tienes que estar codo a codo con tus compañeros”; además de tener conocimiento de las regulaciones que afectan a la empresa a la que estás sirviendo; tener la habilidad de tomar decisiones bajo presión, en situaciones de crisis; ser un buen comunicador y “tener la capacidad de explicar conceptos que son complicados de una manera sencilla para que todo el mundo los entienda”; tener la habilidad de educar y concienciar a tus compañeros y crear cultura de ciberseguridad “son cosas sencilla pero eficientes”, asegura, añadiendo que un buen CISO también debe poder adaptase y “ajustar la estrategia de seguridad de la organización en función de cuáles sean las tendencias presentes y futuras”.
“A mí lo que me quita el sueño es que mi organización no continuara por un ciberataque»
Preguntado por las prioridades que se marca en materia de ciberseguridad en Zunder, tiene claro Amador Aparicio que una de ellas es la “protección de datos sensibles. Eso es fundamental y debe incluir el cifrado de los datos en reposo, de los datos en tránsito o la implementación de controles de acceso adecuados”. Otro punto importante a tener en cuenta es “el tener la capacidad de identificar amenazas, evaluarlas y mitigarlas” y, sobre todo, “cómo respondes a los incidentes que te van a pasar. Porque lo que marca la diferencia de una organización a otra es el tiempo de respuesta. En función de cómo respondas a la amenaza, puede que tu empresa continúe o no”.
Explica también el CISO de Zunder que, dado las características del negocio, que ofrece la venta de energía a través de los cargadores ultra rápidos para coches eléctricos, “la cadena de suministro es una cosa fundamental”. Tiene claro Amador Aparicio que “nosotros no podemos, o no deberíamos, asumir riesgos de los proveedores de servicios con los que con los que trabajamos”, lo que supone “conocer muy bien los productos que tú contratas o que te ofrecen esos proveedores, y tener la capacidad de poder identificar cuáles son los riesgos que esos productos pueden presentar”. En ese poder identificar los riesgos, el directivo ha llegado a analizar el material industrial que tienen los cargadores de la compañía porque “considero que debo tener la capacidad de ver cuáles son los riesgos básicos. Y cuando digo lo básico es que muchas veces en ciberseguridad, haciendo lo básico bien, minimizas muchísimo la superficie de exposición de los sistemas”.
¿Qué tipo de amenaza te quita el sueño? “A mí lo que me quita el sueño es que mi organización no continuara por un ciberataque. Eso es lo que me quita el sueño de verdad”, responde Amador Aparicio. Menciona de manera más específica la fuga de datos; “no me puedo permitir que los datos sensibles de nuestros clientes acaben en internet” por dos cosas: por el prestigio reputacional “y porque la gente perdería la confianza de los servicios que nosotros prestamos”, asegura el directivo; y una denegación de servicio que impida que el cliente pueda acceder a un servicio por el que está pagando.
Asegurando que un CISO debe tener muy claro cuál es el core de su organización y cuáles son los riesgos que impactarían sobre ese core, asegura el directivo d Zunder que otra de las cosas que le quita el sueño es “una amenaza que yo no controlase y que pudiera impactar de una manera directa en el core de mi organización”.
«tienes que demostrar que eres merecedor de esa confianza y de ese respeto»
Planteado qué tecnología de seguridad considera imprescindible, comenta Amador Aparicio que la tecnología avanza, pero la base de esa tecnología es prácticamente la misma, “lo que pasa es que cada vez hay más capacidad de cómputo y más nube”. Con esta premisa, considera imprescindible en cualquier organización “un firewall para filtrar todo el tráfico”. También considera fundamental contar con un antivirus y antimalware, e inaceptable que sea gratuito; “cuando escuchéis a alguien que diga que el mejor antivirus es no tener un antivirus, o que no hace falta tener un antivirus, huye de esa persona porque no tiene ni idea de seguridad”. Entiende como imprescindible tener un sistema capaz de detectar y prevenir intrusiones, además de otro que detecte las fugas de información porque, “aunque no lo parezca, una de las mayores amenazas que sufren las organizaciones es precisamente la exfiltración de información de carácter sensible por parte de los insiders, de la gente que trabaja para para la propia organización”.
Continúa con su lista de imprescindibles añadiendo el doble factor de autenticación porque, “por muy compleja que sea una contraseña, como alguien más que tú la sepas, ya no vale”; un buen control de accesos “para restringir el acceso a sistemas, aplicaciones o datos críticos de una organización”; protección del correo electrónico, “porque es el principal vector de entrada de todo lo que tiene que ver con el phishing y el ransomware”. Asegura también que “si quieres ser un buen CISO, más vale que estés atento a las actualizaciones y los parches”; que la seguridad en la nube “es una cosa muy importante”; y que educar y concienciar en seguridad, “es fundamental y algo crítico”. No se olvida de un sistema de backup, recuperación y continuidad de negocio “si no quieres morir después de ser víctima de un incidente”.
¿Qué te haría fracasar como CISO? “Lo que no cuesta es llegar, lo que cuesta es mantenerse”, responde Amador Aparicio. Añade que nunca le han hecho una entrevista para ser CISO, sino que “han confiado en mí, y doy las gracias por ello. Pero claro, tú tienes que demostrar que eres merecedor de esa confianza y de ese respeto”.
Mirando hacia delante, hacia algunas tecnologías o amenazas que puedan ser perturbadoras, se menciona la computación cuántica asociada, de manera concreta, al cifrado. Asegura el CISO de Zunder que no es algo que le preocupe porque “esas máquinas que puedan poner en peligro la criptografía que tenemos actualmente es algo que va a tardar muchos años en venir. Además, se está investigando mucho sobre criptografía cuántica, protocolos criptográficos, etc.”.
Considera importante el auge de la inteligencia de amenazas. Recordando que el cibercrimen genera más ingresos que la venta de armas o el tráfico de drogas, dice Amador Aparicio que los cibercriminales están invirtiendo y que las ciber amenazas son cada vez más complicada de detectar.
“por muy compleja que sea una contraseña, como alguien más que tú la sepas, ya no vale”
Sobre la Inteligencia Artificial relacionada con la ciberseguridad, tiene claro el CISO de Zunder que hay que realizar un control de una posible fuga de información que se puede producir por subir datos a una máquina que no sabemos dónde está ni lo que hace, entre otras cosas porque “de la misma manera que existen vulnerabilidades para las máquinas que están conectadas a Internet, también se puede hacer hacking a los sistemas de inteligencia artificial generativos”. Menciona de manera específica el prompt injection, una técnica que tiene como objetivo manipular la entrada o instrucciones que se le proporcionan a un sistema de Inteligencia Artificial.
En todo caso, “más que la inteligencia artificial, me preocupan de verdad los ataques clásicos” como los de phishing o ransomware, por “la capacidad y facilidad que hay hoy en día para clonar en tiempo real la voz y video para hacer una suplantación de una persona”.
En una situación idílica, sin complicaciones de tiempos o presupuestos, “se me ocurre una tecnología futura, pero que a mí me gustaría tener: un sistema para garantizar que cuando yo tengo una videollamada, las personas que aparecen son las que tienen que estar y no son una suplantación”, asegura Amador Aparicio. Concreta el directivo: “me gustaría tener una herramienta para detectar suplantaciones de identidades digitales a través de los rasgos biométricos”.
¿De qué proyecto se siente más orgulloso Amador Aparicio? “De haber detectado cosas antes de que los cibercriminales lo hubieran hecho. Y, sobre todo, orgulloso del equipo de sistemas y del equipo de desarrollo que tenemos, que lo han resuelto todo. Me siento orgulloso de trabajar con gente que tiene actitud”, responde Zunder.
Por último, ¿qué haces cuando no eres CISO? “Me gusta mucho estar con mis hijas, de once y siete años, y salir a correr”, responde, añadiendo que está al final de su tesis y forma parte del grupo de investigación de la Universidad de Valladolid, donde es profesor asociado. También disfruta “tomando una cerveza con mis amigos”.
