«El router de nuestra casa puede ser usado para ciberatacar a un tercero»

Urko Zurutuza (San Sebastián, 1976) es el coordinador de la Línea de Investigación sobre Ciberseguridad y Análisis de Datos de Mondragon Unibertsitatea y, además, es el responsable del 23 Congreso RAID-20, Simposio Internacional sobre Investigación en Ataques, Intrusiones y Defensa, que su grupo organiza estos días. Se trata de uno de los diez congresos sobre investigación en la materia más importantes del mundo. Zurutuza resalta el peso que ha tomado Euskadi en el sector, la importancia de construir la transformación digital de manera cibersegura y las posibilidades de empleo inmediato que ofrece este ámbito a los jóvenes vascos.

– ¿Cómo surgió el grupo de investigación en ciberseguridad de Mondragon Unibertsitatea?

– Empezamos hace ya casi veinte años. Entonces, todo estaba centrado en ataques a través de gusanos que, de forma automatizada, saltaban de ordenador en ordenador colapsando internet. Todo ha evolucionado mucho. El año 2008 marcó un hito, puesto que vimos, por nuestra cercanía con la industria, que además de los ordenadores personales un ataque en una red industrial, donde hay máquinas conectadas, podía ser mucho más peligroso. Y empezamos a trabajar en ese ámbito, en el que hemos avanzado mucho.

– Lideran proyectos europeos...

– Sí, hemos ayudado a empresas como Phillips o Jaguar-Land Rover a tener sus sistemas de producción un poquito más seguros. En los últimos años también trabajamos en lo que se conoce como IoT o 'internet de las cosas'. Andamos entre esos dos mundos, en los que hay muchos dispositivos pequeños conectados a internet. Tenemos un proyecto bastante interesante sobre esto, porque hemos visto que los ataques a estos dispositivos son bastante sencillos. Se violan las contraseñas, que muchas veces son las que vienen de fábrica, y una vez dentro modifican su comportamiento para atacar. Si multiplicamos esto por millones de dispositivos, tienes un arma...

– ¿De qué dispositivos 'caseros' hablamos?

–El ejemplo más habitual es el de las cámaras ip, como las de vigilancia de casa o de una fábrica, que están conectadas a internet todo el rato, o el de nuestro router. Muchas veces son muy vulnerables. Sin darnos cuenta nuestro router del salón de casa puede usarse para ciberatacar a un tercero. Se dan muchos casos.

– ¿Qué tipo de ataques?

– Pues, por ejemplo, lanzar tantísimas peticiones a un servidor que lo dejan atontado.

– Euskadi parece tener luz propia por sus empresas de ciberseguridad...

– Tenemos empresas punteras. Y en los últimos tres o cuatro años se están organizando las cosas en torno a distintas asociaciones europeas, en España y en Euskadi, como el Centro Vasco de Ciberseguridad o Ziur, o la creada ayer Cybasque. Hay mimbres. Lo que me parece muy importante es que ya hay en Euskadi empresas que desarrollan producto de ciberseguridad. Han surgido algunas 'start-up' que se están moviendo bien.

– ¿Y estamos preparados?

– Esto es como el gato y el ratón. En cuanto descubres su forma de actuar, los atacantes buscan otra. En cuanto a la industria, me acuerdo que antes casi nadie observaba los estándares. Eso ha cambiado. Ahora se hace y se siguen las buenas prácticas internacionales. Además, las instituciones, la SPRI, Ziur o el Centro Vasco de Ciberseguridad, ofrecen ayudas para realizar auditorías y poder ponerse en marcha. Se están dando pasos desde la bases. También en las pymes.

– ¿Somos conscientes?

– Ponemos el foco en lo más técnico o en las empresas, pero el talón de Aquiles son las personas. Un correo electrónico que recibes y que esconde un fraude. Los atacantes lo hacen bien. Esto es todo los días. Por eso quizás falta concienciación. Si nunca te ha pasado nada lo ves como un gasto, pero si te ha pasado, ya es tarde.

– ¿Qué papel tendrá la ciberseguridad en la transición digital?

– Es uno de los pilares de esa transición. La clave es digitalizar los procesos industriales, pero hacerlo de manera cibersegura. Hay que pensar que los datos se mueven por toda la empresa, pero puede que también hacia afuera.

–Va a hacer falta mucha gente, mucho talento...

– Ahí Mondragon Unibertsitatea parte de una situación privilegiada, pues tenemos dos másteres duales en marcha. De ahí salen veinte o treinta personas cada año que, en general, tienen trabajo según acaban. La mayoría, en Euskadi.

–Parecen pocas personas...

– Es que a los alumnos que acaban un grado casi ya les llaman las empresas para trabajar. Les necesitan. Es posible que con el Covid cambie la cosa.

–¿Se han recrudecido los ciberataques con el teletrabajo?

–No. A lo mejor hay más riesgo por haber más gente trabajando en casa, pero no parece que haya crecido. No tengo esa sensación.