Simón Roses, fundador de Vulnex: "No hay ningún sistema informático seguro cien por cien"
- "Los problemas de seguridad vienen porque se actúa demasiado tarde"
- Vulnex es la única empresa española que ha trabajado con DARPA
- El Departamento de Defensa ha presentado su proyecto en West Point
Vulnex es la única startup española que ha logrado colaborar con la Agencia de Investigación de Proyectos Avanzados del Departamento de Defensa de Estados Unidos (DARPA). Su fundador, Simón Roses Femerling, ha pasado de una adolescencia de hacker a trabajar seis años para Microsoft y embarcarse en enero de 2012 en la creación de su propia empresa de seguridad informática.
La seguridad total es una quimera. "No hay ningún sistema seguro cien por cien" afirma Roses a RTVE.es, pero se trata de intentar ponérselo difícil a los atacantes. Hay que concebir la defensa en profundidad. Es decir, poner tantas barreras que los hackers se cansen y busquen otro objetivo peor protegido.
“La mayoría de los problemas de seguridad vienen porque se actúa demasiado tarde“
La batalla es incesante porque cada día aparecen cientos de vulnerabilidades nuevas. Por eso, es necesario actualizar los sistemas informáticos y realizar auditorías de forma periódica, aunque las empresas más conscientes de los problemas de seguridad las realizan cada seis meses o de forma anual.
Vulnex presentó a DARPA un proyecto para mejorar el desarrollo seguro de software y atacar el problema desde la raíz, ya que "la mayoría de los problemas de seguridad vienen porque que la gente quiere actuar cuando ya es demasiado tarde", subraya su fundador.
Desarrollo seguro de software
La propuesta de la empresa española analiza la seguridad de los compiladores Visual Studio, GCC y LLVM -la herramienta que se utiliza para pasar del código fuente a un ejecutable que el ordenador entiende-. Simón Roses explica que "los compiladores tienen características para incorporar elementos de seguridad, pero muchos por defecto no lo hacen y los programadores no aprovechan esa posibilidad".
En una segunda fase, Vulnex desarrolló una tecnología para incluir herramientas de seguridad al compilar y, por último, creó una herramienta multiplataforma para verificar si se ha compilado de forma segura. La herramienta, bautizada BinSecSweeper, permite comprobar el software después de haberlo compilado, sin recurrir al código fuente, y detectar vulnerabilidades. Si el producto pasa el examen, los programadores pueden distribuirlo de manera segura, y si no supera la prueba, conocen los fallos y pueden corregirlos.
“La propiedad intelectual es nuestra y podemos rentabilizarlo“
El tope para los proyectos de Cyber Fast Track de DARPA era de 100.000 dólares. Roses evita detallar el importe exacto adjudicado a Vulnex. Matiza que no ha llegado al máximo pero que "tampoco se puede quejar". "El coste realmente es mayor, han pagado menos por esta labor de I+D pero la propiedad intelectual es nuestra y podemos rentabilizarlo, o darlo de manera totalmente gratis", avanza.
De momento, han logrado un contacto directo con el Departamento de Defensa estadounidense, que ha presentado la herramienta en foros internos y en la academia militar de West Point, lo que abre la puerta a una futura colaboración. Estados Unidos tiene en marcha el Plan X, que pretende desarrollar el sistema operativo para la ciberguerra. Roses deja caer que "le habían tanteado para participar, pero por distintos motivos ha decidido que no".
Jerarquía de los hackers
Dentro de los hackers, hay una jerarquía muy marcada. Roses explica que en el nivel más bajo de la pirámide están los script kiddies, aficionados a la informática que trastean con las herramientas que han creado otros para intentar romper barreras de seguridad, y con un grado de sofisticación mayor se encuentran los cibercriminales que buscan dinero fácil.
Mucho más peligrosos son los espías industriales, profesionales contratados por una empresa para espiar a sus competidores, y en lo alto de la pirámide están los Estados-nación, expertos especializados en seguridad patrocinados por una agencia gubernamental o un servicio de inteligencia con todos los recursos del Estado a su disposición.
A la hora de repeler un ataque informático el factor determinante es el equilibrio de fuerzas. Esto es, una empresa no tiene nada que hacer si sus sistemas son atacados por un Estado-nación, mientras que si se trata de espionaje industrial tiene más opciones para defenderse.
El factor humano
Ante el caso del extécnico de la CIA, Edward Snowden, el fundador de Vulnex apunta que es muy complicado impedir que alguien que tiene acceso a la información pueda robarla. Destaca que "el factor humano es lo más difícil de controlar. ¿Cómo podemos vigilar a un administrador de una empresa? Tiene acceso a todo, lo ve todo, es como intentar vigilar a Dios".
“Controlar al administrador de una empresa es como intentar vigilar a Dios“
El experto en seguridad insiste en que es necesario instalar mecanismos y controles "no para impedir el acceso sino para minimizar daños". Otra clave es detectar a los atacantes lo más rápido posible. Las empresas en Estados Unidos tardan un año de media en darse cuenta de que su sistema informático ha sido atacado.
Las redes de cibercrimen más activas están en Rusia, pero también en Brasil, donde hay talentos de la informática con mucho tiempo libre y pocas expectativas de encontrar un buen trabajo. Las mafias reclutan a universitarios por un sueldo de mileurista que en esos países supone un buen nivel de vida. Además Internet ha democratizado el acceso al conocimiento y toda la información para atacar a una empresa se encuentra en la red de forma gratuita, según Roses.
Trabas a los emprendedores
El fundador de Vulnex se queja de las trabas administrativas para las pymes que empiezan, confiesa que todavía no se ha acostumbrado al papeleo y a los impuestos. Asegura que nota "falta de apoyo" y que su cruz, como la de tantos emprendedores, es encontrar financiación.
“Contrataremos de tres a seis personas, en función de la financiación“
Simón Roses relata que el director de su sucursal bancaria admite que "Vulnex es de las pocas empresas que va bien", sin embargo a la hora de pedir un crédito para desarrollar nuevos productos, la respuesta es que al ser una empresa tecnológica es complicado dar financiación, "esa es la mentalidad un poco que hay en España", muy lejos de la cultura empresarial de otros países.
Con todo, Roses no tira la toalla y piensa recurrir a distintas fuentes de financiación, desde la inversión de amigos y familiares a los créditos del ICO. Vulnex tiene previsto contratar a un equipo dedicado a desarrollo, "con un poco de suerte, en los próximos meses, incorporaremos de tres a seis personas, en función de la financiación". La filosofía de este informático es ir "lento pero seguro para consolidar la empresa". Ahora solo falta que llegue el dinero.