Tomás Castro
Tomás Castro posa momentos previos a la entrevista en su despacho de Madrid. JORGE PARÍS

Todos somos vulnerables en el planeta Tierra y en cualquier aspecto de la vida. Así lo piensa Tomás Castro, presidente de la Agrupación Empresarial Innovadora Ciberseguridad y Tecnologías Avanzadas (AEI). Es, además, piloto de control avanzado de operaciones por control remoto para vuelos de aeronaves fuera del alcance visual del piloto. También preside Conetic y ha recibido varios reconocimientos por su trayectoria profesional. Está vinculado a varias causas benéficas.

En esta entrevista con 20minutos, Castro explica con detalle por qué considera que con poco esfuerzo tanto la sociedad como la empresa pueden hacer mucho por proteger sus datos. Lo más importante es la concienciación, y pide que los Gobiernos la potencien desde la enseñanza.

Internet ha abierto un mundo de posibilidades. ¿Estamos preparados los españoles para su uso?
Hay una gran diferencia entre países en cuanto a la capacidad de asimilar las tecnologías para hacer un buen uso de las mismas. Existe un tipo de personas que utilizan las redes sociales, el teléfono y cuatro herramientas más, y otras que quieren las tecnologías más para su trabajo, su día a día. En este sentido, nos quedamos más sobre la media europea en la parte de usuario del WhatsApp, de mirar el tiempo por internet y alguno hasta escucha la radio y va avanzando en el manejo. En esto tenemos que avanzar mucho. Hay países que nos llevan delantera a nivel mundial y europeo. Existe un retraso en la sensibilización o concienciación en el buen uso de las tecnologías. Aquí hay un gran trabajo que hacer para que la ciudadanía en general tenga la capacidad de reaccionar hacia lo que viene porque es más rápido e importante todavía.

¿En este futuro inmediato que viene, los millennials son los mejor preparados?
Europa creará este año cerca de un millón de puestos de trabajo en ciberseguridad Por supuesto. Hay que darse cuenta de que hay otro tipo de generación que está entre los 40 y 60 años que abre una brecha importante. Habría que preguntarse qué porcentaje de personas en esta franja de edad domina realmente las tecnologías como los millennials; seguro que sería muy bajo.
Sin embargo, esta situación se revertirá, porque la tendencia entre la sociedad es ir aumentando hacia perfiles con mayor manejo de las tecnologías. Estamos en un momento donde hay que seguir empujando el conocimiento. El reto es importante.

¿De quién tiene que partir ese impulso de conocimiento?
De los gobiernos. La concienciación debe cambiar desde las escuelas. Igual que creo que tienen que enseñar en la parte social a hablar en público y tener una serie de habilidades o pautas y conceptos sobre la economía, también debe hacerse con la tecnología. Cuando hablo de educar no me refiero a decirles qué es una tableta para que jueguen. Les enseño a que una tableta, un PC y un smartphone son herramientas que les dan unas posibilidades de adquirir conocimientos, de buscar informaciones, de ser conscientes de que internet no deja de ser un mundo virtual paralelo al real, donde hay que tener determinadas precauciones. Hay que fomentar este tipo de culturas, y eso es cuestión de educación y, por tanto, del Gobierno.

¿Tenemos seguridad en el uso de nuevas tecnologías?
Las pymes son las más expuestas a los ataques informáticos por su baja inversión en seguridad Nadie está seguro al 100% en ningún aspecto de la vida. Los malos siempre están avanzando en vulnerabilidad, con lo cual los buenos siempre tienen que ir detrás.
Dicho esto, existe un porcentaje de seguridad importante que hay que poner en marcha. El problema es que no hay sensibilización. Es lo mismo de siempre, nadie piensa que le puedan hackear sus datos. En las empresas hay dos tipos: las que no se enteran de que les están robando los datos, y las que lo saben y les da vergüenza contarlo porque no deja de ser un aspecto negativo para su marca.

Este tipo de problemas se está viendo a nivel mundial...
Sí, lo que ocurre es que hay países como Estados Unidos, Reino Unido e incluso China, la India e Israel, que están invirtiendo mucho en seguridad y han sacado mucha delantera al resto. El gasto mundial en el mercado de la ciberseguridad según Incibe [Instituto Nacional de Ciberseguridad] era en 2014 de unos 72.237 millones de dólares, con un incremento anual del 10% en los dos últimos años. De esta cifra global, la de España supone 150 millones.

¿Podemos afirmar que hacer uso de las nuevas tecnologías supone un riesgo?
El Gobierno debe impulsar desde la enseñanza el buen uso de las tecnologías Si haces un mal uso de ellas, la respuesta es sí. Es lo mismo que si atraviesas la calle con el semáforo en rojo.
Con millones de usuarios, nunca piensas que te puede tocar a ti una mala experiencia; pero puedes ser tú como el de al lado.

¿Hay algún tipo de sector más vulnerable a los piratas informáticos?
Es difícil de saber. Lo que es demostrable es que a nivel general en el sector industrial las pymes sí lo son. De hecho, en los últimos años ha incrementado mucho todo lo que tiene que ver con el secuestro de información. Son también las que menos invierten, pero el mayor problema es la parte social. Ya no es que pongas dispositivos o filtros de protección, es el conocimiento de las personas. No se debe pinchar ningún correo sospechoso o que no se espera. Algunas se han quedado sin la contabilidad de toda su historia, porque encima no hay conciencia de la copia de seguridad. Otras han caído en el pecado de pagar el rescate y aún así no se liberan.

¿Qué significa pagar un rescate para poder recuperar tus datos?
Los hackers ponen un precio para darte la clave que descifre toda la información de tu compañía que te han robado. Algunas han pagado hasta 3.000 euros.

¿Esto pasa en España?
Sí, igual que en otros países, y a veces se pagan unas cifras importantes. La forma de atacar ha ido evolucionando hacia otros perfiles. El del secuestro es el más novedoso.

¿Este tipo de sobornos no se denuncia?
Algunas empresas han sido sobornadas y han pagado mucho dinero por recuperar sus datos Algunas lo hacen y otras no. Normalmente estos ladrones informáticos se encuentran en paraísos fiscales; por tanto es más difícil que sean perseguidos por la policía y te exigen que pagues con la moneda virtual bitcoin. En este sentido, es necesario que se empiece a cooperar de manera internacional para poder desmantelar a estos delincuentes. Lo recomendable es no pagar los rescates o instalar los sistemas de protección adecuados.

¿Qué consejos de protección daría al usuario contra los ciberdelincuentes?
Tienes que tener tu wifi y router cifrados, con una clave fuerte. No vale poner, por ejemplo, 301 o 301a3. Hay que utilizar 10 o 15 dígitos combinando letras, números y mayúsculas y minúsculas para que a aquel que quiera entrar a ver tus datos le resulte complejo, se canse y se vaya a buscar a otro más débil. Lo segundo es que se debe dudar de entrada de todo el correo que entra de origen desconocido. Hay algunos evidentes: por ejemplo, los bancos no suelen hacer este tipo de envíos. Puedes tener también un disco externo para salvar todos los documentos y fotos personales y tenerlo en un sitio diferente al de tu ordenador.

¿Y a las empresas?
Tienen que hacer lo que los particulares pero a mayor escala. Lo más importante es hacer una copia de seguridad, una local y otra remota, en un servidor que esté lejos, de tal forma que se pueda recuperar en cualquier momento tras un incidente. Lo siguiente, si tienes la posibilidad, tener un sistema en espejo para poder trabajar si una máquina se para. Además, es imprescindible tener actualizados los sistemas de software y hacer una auditoría de seguridad por empresas externas que puedan hacer una valoración objetiva o hacer pruebas de estrés.

¿Es caro para las empresas invertir para salvaguardar su seguridad informática?
El gasto de España en ciberseguridad representa únicamente el 2% a nivel mundial No, pero dependerá mucho del tamaño. El mayor desembolso se realiza en la formación de los empleados, para enseñarles lo que está ocurriendo, y es la más efectiva.

Imagino que los sistemas de seguridad están en permanente avance...
Sí, continuamente. Las empresas que están especializadas están desarrollando tecnologías continuamente en base a los análisis que se conocen del mercado de ciberdelito. Los fabricantes se ponen enseguida al día en este tipo de herramientas.

¿Los antivirus que instalamos en nuestros ordenadores personales son eficaces?
Desde luego. Los virus informáticos siguen existiendo y se meten y espían dentro de tus dispositivos. Por tanto, son necesarios. Pero hay que poner otros sistemas, de los que hemos hablado antes.

La ciberseguridad está creando empleo...
Sí. Se calcula que Europa demandará cerca del millón de puestos de trabajo relacionados con la ciberseguridad este año. Los perfiles que se buscan ahora son expertos en ciberseguridad, pero además tienen que entender de los riesgos que pueden afectar a una materia en concreto; es decir, no son solo ingenieros de sistemas, sino que además tienen formación en seguridad. Esto está haciendo, al mismo tiempo, que estén naciendo nuevas categorías de profesionales.
Lo que no existe es una certificación que acredite que una empresa realmente cumple unos requisitos de ser
cibersegura.

¿En qué consiste el sello de ciberseguridad que la AEI lanzó el pasado año?
En el uso de las tecnologías nuestro país se queda en el WhatsApp Vale para cualquier empresa, y garantiza la profesionalidad del experto. Esto no tiene nada que ver con la ISO 27.000 [norma en seguridad de la información que se centra únicamente en la gestión], que garantiza el sistema de seguridad específico que una entidad quiere tener. Por otro lado, el sello permite garantizar a cualquier tipo de compañía que sus datos no van a ser robados si acuden a expertos externos que entienden de seguridad y objetivamente les han dicho lo que realmente necesitan. Si eso se corrige, su seguridad habrá aumentado casi al 100% y obtendrán el sello. Después necesitan una revisión anual o bianual. En realidad, el objetivo del sello era cambiar un estándar que certificase a nivel técnico la ciberseguridad en una entidad; el resultado es sello único a nivel mundial.

¿Cómo se está recibiendo?
Se están adhiriendo empresas y poniéndose en marcha los procesos de formación y certificación de los departamentos específicos de marcas importantes del país, que están trabajando para estrenar su sello de ciberseguridad. Estamos en un proceso inicial donde la aceptación está siendo buena; ya hay unas 40 compañías interesadas.

¿Cuál es la misión de la asociación europea que acaba de ponerse en marcha?
La AEI participó en la firma de la constitución de la ECSO en el verano pasado y el objetivo es, entre otros, decidir las inversiones que entran dentro de los más de 1.400 millones que tiene Europa para el mundo del ciberespacio para invertir entre este año y 2020. De aquí tendrán que salir proyectos e iniciativas de todo tipo, para la industria, el ciudadano...

¿Cuál es el objetivo de la AEI para este año?
Nuestro objetivo era el reconocimiento de clúster excelente por parte de la Dirección General de la Pyme, que lo conseguimos en diciembre de 2014. Ahora hay que trabajar a futuro para conseguir que las empresas nos juntemos en un programa anual, en el que cada tres meses se hacen unas reuniones para proponer necesidades, inquietudes y debatir sobre la puesta en marcha y lanzar proyectos colaborativos que sean útiles para las compañías, que puedan dar valor añadido a su negocio, y útiles también para los usuarios, la ciudadanía.

También buscaremos potenciar la formación de los propios profesionales que estamos en el entorno de la ciberseguridad, buscando especialistas incluso de otros países que puedan adelantarse a los problemas que están surgiendo; tener información de primera mano de los ataques que se están sucediendo sin control; conseguir el apoyo en la internacionalización e impulsar el crecimiento ciberespañol hacia el exterior; e investigar sobre tecnologías avanzadas (internet de las cosas, big data, industria 4.0) en los que debe implementarse seguridad. Además queremos potenciar el sello de ciberseguridad y conseguir incluso que sea europeo.