"Es absurdo pensar que los virus los fabricamos nosotros; necesitaríamos 20.000 programadores para ello", Nick Shaw de Norton

"Es absurdo pensar que los virus los fabricamos nosotros; necesitaríamos 20.000 programadores para ello", Nick Shaw de Norton
28 comentarios Facebook Twitter Flipboard E-mail

A base de grandes filtraciones, polémicas y desastres, la seguridad y la privacidad han ido ganándose un puesto casi fijo en la actualidad.

En medio de la vorágine del MWC, tuvimos la oportunidad de hablar con Nick Shaw, Vicepresidente, Ventas y Marketing de la región EMEA para Norton. Tratamos asuntos como la seguridad con temas de moda como Internet de las Cosas, 5G o inteligencia artificial, y también aprovechamos para plantearle una cuestión que siempre ronda a este tipo de empresas: si los virus los fabrican ellas mismas porque es bueno para el negocio.

Ir por la vida sin antivirus

Email Virus

No recuerdo la última vez que tuve instalado un antivirus y no he notado ningún problema con mi PC o smartphone. ¿He tenido suerte?

No se trata solamente de antivirus estos días. Si piensas en el coche, no valía con solamente ponerte el cinturón. Luego llegaron los frenos, los frenos de discos y el airbag evolucionó, y después había varios airbags y después llegó la protección de choque y luego tuvimos los parachoques a prueba de choques...

La manera en la que se configura la seguridad es que los antivirus son una pequeña parte de todo lo que supone protección y seguridad... tienes phising, tienes SMS en algunos países donde la gente accede al teleoperador, cambia el teléfono y con ello la autentificación por SMS, lo que se conoce como digital skimming, que es un problema enorme, no sé si lo conoces, está creciendo de forma masiva... en noviembre y diciembre se produjeron dos tercios de todos los casos de skimming del año pasado.

Supongo entonces que te refieres a que hay muchas amenazas que no sólo implican tener o no un antivirus.

Sí. Las amenazas están cambiando y los virus tradicionales que veíamos... es un panorama maduro que cambia mucho. También si echamos un vistazo al Internet de las Cosas y al hecho de que la gente está poniendo en casa Amazon y Alexa, etc., todo este tipo de productos tienen una gran seguridad de fábrica, pero también hay muchos productos que se sacan al mercado lo antes posible y no tienen en cuenta la seguridad.

"Es algo que interiorizamos como humanos: a otros les pasan cosas malas, a mí me pasan cosas buenas"

Los hackers buscan el punto más débil: si tienes muchos dispositivos, saben que Amazon Alexa tiene una buena seguridad, pero algo que ha sido creado por una startup pequeña donde no se tenía muy en cuenta la seguridad es un punto débil y van a ir a por ello. Una vez tienes acceso a los datos tienes información sobre la tarjeta de crédito.

¿Nos confiamos demasiado entonces?

Creo que sí. Siempre me acuerdo de lo que pasa en el Reino Unido y es que si le pregunto a alguien: "¿Crees que vas a ganar la lotería?" y me responden "sí, por supuesto, echo la lotería todas las semanas", cuando la probabilidad es muy baja. En cambio, si le preguntas a alguien si va a tener un problema de robo de identidad, de phising o un ataque similar te dirá que eso no le va a pasar, cuando hay un 33% de posibilidades.

Lo malo siempre le pasa al vecino, ¿no?

Es algo que interiorizamos como humanos: a otros les pasan cosas malas, a mí me pasan cosas buenas. Entiendo de dónde viene toda esta lógica, pero uno de los retos es entender esas amenazas, puesto que a veces es muy complicado entender toda la jerga tecnológica... smishing, fishing... Si voy a mi madre y le pregunto que si le preocupa el fishing me respondería que por qué va a tener que preocuparse de pescar y que si tiene que agarrar una caña de pescar e ir al mar a pescar. La gente no lo entiende pero las amenazas no dejan de evolucionar.

Pero entonces, ¿hay posibilidades de que te entre un virus en un iPhone?

La verdad es que no o por lo menos no al nivel que pasaba con los PCs, pero hay cosas mucho más preocupantes que te pueden pasar cuando te conectas a una red WiFi y te bajas cosas. Son peligros graves que cada vez son más sofisticados y diferentes. Cuando la gente empieza a tener éxito bloqueando los ataques en un campo los cibercriminales se pasan a otro. Es mucho más fácil para un cibercriminal estar sentado en casa que ir a atracar un banco.

Sobre Alexa y el nuevo concepto de privacidad

Privacidad

Uno de los regalos estrella de las pasadas navidades fueron los altavoces inteligentes y ahí Amazon se llevó la palma con los Echo. Por ejemplo, yo tengo un Amazon Echo en casa... ¿es seguro?

Un Amazon Echo es seguro, pero cualquier cosa que uses la tienes que utilizar con ciertas reglas. Tú por tu cuenta tienes que averiguar cuáles son las reglas que tienes que seguir para mantener el nivel de privacidad que quieres y como persona individual tienes que averiguar qué es lo que quieres. Es seguro pero tienes qué saber con qué nivel de privacidad estás a gusto y qué cosas quieres compartir y qué cosas no. Eso pasa con todo. Es como cuando instalas una aplicación gratis. Pobablemente esa aplicación va a usar tus datos de alguna manera y tienes que saber si estás a gusto sabiendo que esa aplicación tiene tus datos o no. Siempre va a haber un equilibrio a nivel individual en cuanto a privacidad.

"Es mucho más fácil para un cibercriminal estar sentado en casa que ir a atracar un banco"

Internet de las Cosas, 5G... estamos viendo muchos anuncios aquí en Barcelona y se trata de tener más dispositivos con nosotros todo el tiempo conectados y mandando y recibiendo información. Pero parece que la seguridad no es uno de los argumentos de venta para las empresas.

Creo que algunas empresas sí que lo tienen en cuenta, pero creo que hay otras que no consideran que la seguridad es importante y simplemente quieren sacar un producto al mercado. Uno de los retos del Internet de las Cosas es que no hay un estándar de seguridad, no es como los coches que tienes una puntuación y sabes que tienes más probabilidades de sobrevivir a un accidente. No hay un estándar. Creo que llegará con la madurez del mercado y habrá más estándares, pero por ahora recae sobre nosotros la responsabilidad de ayudarte a protegerte y hacerte sentir seguro, y ser capaz de utilizar bases de datos sin miedo en el mundo conectado.

El consumidor, por lo menos tal y como lo observamos nosotros, suele ir a la tienda o a Amazon y se compra el producto más barato.

A veces, sí. Yo diría que muchas veces el consumidor se ve influenciado por los precios o puede haber algún tipo de funcionalidad que hace que compre el producto, pero creo que a medida que el mercado madura el cliente opta por empresas más grandes donde hay estándares de seguridad y la seguridad se da por hecho. Pero algunas de las mejores innovaciones vienen de empresas pequeñas que no tienen eso...

Mark Zuckerberg

Incluso con el escándalo de Cambridge Analytica, el último informe de ingresos de Facebook muestra cifras récord de beneficios, ¿los usuarios ya no valoran privacidad?

Creo que la privacidad es cada vez más importante. En los próximos... ya sea 12 meses, 24 meses o 36 meses, la privacidad va a tener más importancia. Hemos sacado un producto en EE.UU. del que no te puedo dar muchos detalles, pero que tiene que ver con la privacidad y lo hemos creado en EE.UU. trabajando con consumidores de EE.UU. y estamos trabajando en una hoja de ruta para traerlo a Europa, pero no te puedo dar fechas exactas en este momento.

Lo que sí que puedes tener en cuenta es que cuando una app es gratis, estás sacrificando parte de esa privacidad. Algunas personas se sienten a gusto sabiendo que es así, pero otras no. Es una elección a nivel personal. Creo que lo que veremos es que la gente va a tener que ser más honesta sobre qué tipo de datos están tomando a cambio de esa solución gratuita y creo que llegarán normativas para que todo sea más transparente para los usuarios.

El modelo de negocio de Norton

Seguramente la gente piense en Norton y se quede solo en que sois una empresa de antivirus de toda la vida.

Te voy a contar una anécdota. Mi hijo tiene 17 años y tiene un teléfono Android y le he dado una clave de nuestro Norton Security para Android y, ya sabes, no es guay tener software antivirus [risas]. Y le dije: "mira, no tienes otra opción porque trabajo para una empresa de antivirus" (risas). Pero le dije, "mira, te voy a mostrar qué puede aportarte la app como adolescente. Escoge una app que te quieras descargar". Escogió una app que quería descargarse y, de hecho, era una app de linterna porque fue hace un par de años y el móvil no venía con app de linterna por defecto en el sistema operativo. Y le dije, "mira, te piden los contactos, quieren saber dónde estás, todo tipo de información..." ¡Y la sigue usando! El otro día me dice: "estaba mirando para bajarme una app para comprar ropa por Internet, pero mira, te piden información que realmente no necesitan...".

"Cada vez más gente está usando VPNs por motivos de seguridad"

El problema es que creo que algunas apps pasan desapercibidas cuando hacen esto y creo que algunos desarrolladores de aplicaciones piensan en plan "igual la gente lo instala de todas formas" y por eso lo hacen porque cuanto más datos tienes del usuario, en teoría mejor. De ese modo los usuarios les pueden ayudar a saber si se sienten a gusto o no y algunos dirán "pues no y puede que opte por otro producto por el que tenga que pagar o lo obtenga por otras vías...".

Otra de mis preguntas era sobre las soluciones en cuanto a VPN, que es otra de las soluciones que ofrecéis. ¿Cómo crees los gobiernos podrían influir en el uso de VPNs?

Realmente no puedo hablar de política porque realmente no es nuestro papel hablar de VPNs y política. Lo que sí que puedo decir es que cada vez más gente está usando VPNs por motivos de seguridad. Hay un par de motivos por los que la gente usa VPNs: les preocupan los ataques por parte de intermediarios; les preocupan que cuando están en el Starbucks... la gente quiere WiFi gratis, todo el mundo quiere WiFi gratis, especialmente cuando están en otro país y no quieren pagar datos de roaming, etc y no quieres gastar especialmente si sales de Europa y por eso tiran del WiFi gratis y la gente lo utiliza e incluso hay quien crea puntos de WiFi falsos con nombre parecidos al de Starbucks.

"Todo el mundo quiere WiFi gratis e incluso hay quien crea puntos de WiFi falsos con nombre parecidos al de Starbucks"

Incluso si te conectas al WiFi que no deberías, si tienes un VPN instalado no te tienes que preocupar porque se activa de forma automática y pone un túnel haciendo que estés seguro y a partir de ese momento el tráfico está encriptado. Lo utilizan para saber que están sanos y salvos, sin importar el método que utilicen. Algunas personas lo utilizan para obtener contenidos de otros países... a mí me gusta ver el fútbol y cuando estoy fuera quiero ver el fútbol inglés...

O para comprar billetes de avión, por ejemplo. Porque te rastrean y...

Exacto. Puede ser un beneficio cuando quieres comprar un producto.

¿Los virus los fabrican las empresas de antivirus?

Antivirus

Siempre ha habido teorías sobre que el malware lo crean las empresas de antivirus, incluso un rapero español decía en una de sus letras que "los virus los fabrica Norton", ¿cómo podemos fiarnos de las empresas de antivirus o empresas de seguridad como Norton?

Hay quien dice que definitivamente deberías fiarte de nosotros. Trabajamos con agencias estatales para ayudar a reducir las amenazas de los cibercriminales... ¿por qué íbamos a molestarnos si no? Hay millones de amenazas de seguridad cada año. No podríamos crear una aunque quisiéramos y no lo hacemos... que quede claro [risas].

Tienes las agencias estatales y ves algunas de las cosas que vienen financiadas por los gobiernos, ya no hablo de países en concreto, pero es bastante obvio que hay cosas financiadas por los gobiernos, actividad criminal y cosas del estilo... no es algo que hagamos pero siempre ha sido como una leyenda urbana: "vosotros sois los que creáis todos los virus..." [risas] Pero la gente se lo cree y hay gente de verdad robando datos de tarjetas de crédito, no nosotros, gente que crea páginas falsas y roba datos, gente que hace cosas con mensajes SMS... eso no es algo que vaya a hacer una empresa de seguridad, se trata de actividad criminal. No es gente como nosotros.

"La actividad tradicional de antivirus es una parte muy pequeña de nuestro negocio"

Además, la actividad tradicional de antivirus es una parte muy pequeña de nuestro negocio, pero todo lo demás es un negocio tan lucrativo para los criminales que va a seguir pasando y pasa con los puntos débiles porque si le preguntas a alguien si cuando sale de casa cierra la puerta con llave te dirá que sí o que si activa una alarma, pero si les preguntas que si en el mundo digital cierra la puerta con llave, el 90% de la gente no lo hace. No tiene software de seguridad. No se asegura de que no puedan robarle la identidad, no piensan en cómo se gestionan los datos de su tarjeta de crédito... En la vida normal son muy precavidos en cuanto a seguridad, pero en la vida digital no lo son. Así que no se trata de "oh, esas empresas de antivirus son las que hacen los virus..." Absolutamente no. Son los criminales los que van en busca de sus datos y cosas del estilo.

Siento si te ha incomodado la pregunta, pero tenía que hacerla...

Tranquilo, pero es que vemos 142 millones de amenazas al día... ¿te puedes imaginar cuántas tendríamos que programar? Es absurdo pensar que los virus fabricamos nosotros. Tendríamos que tener por lo menos 20.000 programadores. Simplemente para contextualizarlo, ¿sabes?

¿Cómo crees que la inteligencia artificial puede ser de ayuda en temas de seguridad?

Creo que en temas de seguridad se utiliza mucha inteligencia artificial porque, al fin y al cabo, hay una cantidad de datos tan grande si piensas en un centro de operaciones de seguridad y la gestión de incidencias pueden tener dos millones, tres millones de incidencias al día y la inteligencia artificial se utiliza para filtrar todos esos datos, y se va a seguir usando porque tiene sentido. Nosotros utilizamos diferentes niveles de inteligencia artificial en nuestro cliente para ver si algo se parece a algo que ya hemos tenido o si algo puede parecerse a un malware de seguridad o puede ser otra cosa... todo el mundo utiliza la inteligencia artificial porque a medida que aparecen nuevos retos en seguridad cada vez es mayor. Todo el mundo la usa y creo que es una buena forma de proteger a los consumidores y de proteger a los negocios de forma mucho más eficiente. Porque eso es lo que es.

¿Cuáles son algunas cosas que los usuarios hacen a diario a pesar del peligro de hacerlo?

Estaba hablando con alguien hace poco y por lo visto (esto no me ha pasado a mí [risas]) hay un 20% de gente que sigue usando "password" como contraseña o 1234567... [risas] Y recuerdo que no era mi madre, pero un caso parecido y tenía que entrar a su ordenador y me dio por probar 12345 y funcionó... ¿me estás tomando el pelo? [risas] Creo que es bastante difícil porque tienes contraseñas para páginas web, para la cuenta del banco, contraseñas para Amazon... lo que quieras. Y es difícil recordarlas todas y porque es tan difícil recordarlas todas la gente tiene que pensar y siempre digo: "mira, hay mucho gestores de contraseñas en el mercado".

Nosotros tenemos uno y la gente siempre debería usar un gestor de contraseñas. Tengo tantas contraseñas diferentes que no podría sobrevivir, pero sé que con un gestor de contraseñas si alguien obtiene acceso... porque ya sabes, gente con sus mejores capacidades y con la mejor de sus intenciones pierden datos... pero sé que si mi contraseña aparece en la darkweb tengo una contraseña diferente para cada página. Creo que las contraseñas es uno de los temas que me siguen sorprendiendo.

Me esperaba lo de las contraseñas. ¿Alguna cosa más?

La gente se toma muy a la ligera el uso de sus datos, ya sea los datos de la tarjeta de crédito, cosas muy sencillas. El caso de las tarjetas de crédito podría ser el mejor ejemplo... porque hay máquinas de skimming y similares. Me sorprende con el concepto básico de seguridad que tiene la gente... pero sigue habiendo gente que se mete en el coche y no usa el cinturón de seguridad y pienso... entran al coche y simplemente ponen el cinturón al lado y lo encajan porque no quieren escuchar el pitido que hace el coche.

"Algunas personas no va a hacer lo más básico en seguridad y no es porque no lo sepan, es porque no quieren"

Creo que da igual lo que pase, algunas personas no va a hacer lo más básico en seguridad y no es porque no lo sepan, es porque no quieren. Siempre hay una razón personal. Contraseñas, no pensar en la seguridad, tener cuidado sobre qué tipo de páginas visitan, mirar qué tipo de página es, si parece una página normal... me siento a gusto usándola... Si es demasiado bueno para ser cierto... si unas deportivas de Gucci cuestan 300 libras y una página te las está ofreciendo por 20, probablemente sea scam [risas]. Y no es que quiera hablar mal de la marca Gucci o algo por el estilo, pero la gente sigue picando.

¿Qué deberíamos esperar, no solamente en lo que queda de año, pero en los próximos 3-5 años en términos de seguridad si hablamos en cuanto a usuarios? ¿Cuáles deberían ser nuestras preocupaciones?

Obviamente quieres que tu dispositivo sea seguro. Así que lo primero por lo que deberían preocuparse es de proteger su dispositivo. Después tienen que pensar en sus vidas digitales: ¿Cómo protejo mi vida digital? En el futuro van a tener que tener en cuenta la protección de identidad... ¿Cómo puedo asegurarme de que nadie está robando mi vida digital? Tenemos un producto muy bueno en EE.UU. llamado LifeLock... tienes tu vida digital protegida y después tienes que proteger tu casa y para ello tienes que proteger el router o el nuevo dispositivo de 5G o lo que sea que vayas a tener cuando llegue.

Tampoco empezamos a ver cómo hackean llaves de coche. ¿Va a ser algo que cobra importancia? ¿pero importa realmente? porque no sabemos si la gente va a seguir teniendo coches en propiedad o los va a alquilar o un servicio de car-sharing... Creo que las cosas no dejan de evolucionar y las amenazas tampoco.

Comentarios cerrados
Inicio