Álvaro Garrido lleva casi tres años liderando la responsabilidad de salvaguardar la seguridad de BBVA. Su rol de Chief Security Officer (CSO) aúna la seguridad física, la digital y la lucha antifraude, algo bastante excepcional en una gran compañía y al mismo tiempo un gran reto profesional
Habla de “los malos” con familiaridad. Su extensa carrera en el mundo de la ciberseguridad le ha permitido conocer bien el funcionamiento de las organizaciones criminales; sabe que tienen acceso a las últimas tecnologías y que vigilan de manera constante para atacar en cuanto se produzca el más mínimo fallo. La digitalización y el teletrabajo han hecho que el perímetro que hay que proteger en BBVA se haya extendido de manera exponencial. Esto complica aún más la labor de este ingeniero de telecomunicación, que ha trabajado durante años en Oriente Medio, Asia y Escandinavia. Garrido muestra en esta entrevista una gran confianza en la estrategia de BBVA, que considera diferencial por su apuesta por la analítica avanzada de datos y contar con el compromiso de los máximos directivos de la entidad.
La concienciación y la formación de las personas para que estén alerta y preparadas para evitar los fraudes y las amenazas digitales es otra de las grandes apuestas de BBVA, que esta semana celebra el ‘Cybertraining Week’ con una agenda llena de talleres y conferencias para los empleados y sus familias. “ No pienso perderme el desafío técnico de ‘Atrapa la bandera’ y mis hijos seguro participarán en un taller de redes sociales para conocer los riesgos a los que están expuestos los menores en estas plataformas”, dice Garrido.
Pregunta (P): La ciberseguridad ha cobrado un especial protagonismo durante la crisis del COVID-19 al aumentar los ataques y los fraudes ‘online’. ¿Crees que este difícil periodo ha servido para concienciarnos más acerca de las amenazas a las que nos vemos expuestos ‘online’?
Álvaro Garrido (ÁG): Más que un aumento en el número de ataques, lo que ha pasado durante el confinamiento es que nos hemos hecho más dependientes de la tecnología y la gente ha estado mucho más concienciada en proteger sus dispositivos personales, de trabajo y los de su hogar, y cuidar sus hábitos en el mundo digital.
Las estadísticas con las que trabajamos dicen que se ha sostenido el nivel de materialización de esos ataques. Estamos en los mismos ratios que el año anterior o incluso un pelín por debajo. Pero también es cierto que el nivel de dedicación, de atención y de recursos que estamos arrojando al problema es mayor.
Lo que sí hemos notado es que la paquetización de esos ataques ha venido con otro color, con otro enfoque, muy asociado a la crisis sanitaria. Lo que está cambiando es el tipo de cebo claramente, pero ahora empieza a verse que vuelven a los ataques con el estilo previo al COVID-19.
P: ¿Hemos aprendido alguna lección destacable?
ÁG: Una de las cosas que hemos comentado con otros bancos, empresas o con el regulador es la importancia de la concienciación del usuario. Nosotros teníamos ya una experiencia muy relevante en temas de formación y divulgación dentro del Grupo BBVA. Llevamos años realizando todo tipo de actividades dirigidas a los empleados y sus familias. Durante el confinamiento, quizás porque la gente ha tenido más tiempo o era más consciente, hemos formado en dos meses a más de 14.230 personas. Ha sido increíble. Por eso insistimos en recorrer este camino y volvemos a celebrar del 6 al 10 de julio esta semana de formación en ciberseguridad, llena de talleres y conferencias de importantes personalidades del sector.
P: En estos días se ha hablado incluso de alcanzar una gran alianza entre entidades financieras para hacer un frente común para luchar contra los ciberataques. ¿Estaría dispuesto BBVA a colaborar con sus competidores para luchar de manera más eficaz contra el cibercrimen?
ÁG: Esto ya se ha hecho en otras partes de Europa, como en Inglaterra, en Escandinavia…Y en España colaboramos muchísimo a nivel operativo de forma regular, siempre dentro de los límites que nos marca la legislación y la GDPR. Compartimos información sobre amenazas y sobre la temperatura de lo qué está pasando ahí fuera. Pero no solo con otras entidades bancarias. Estamos presentes en muchísimos foros y tratamos de contactar con todo el ecosistema, incluidas las fuerzas y cuerpos de seguridad del Estado, para tener una foto completa de lo que está sucediendo y conocer de dónde vienen los ataques.
Estamos contentos con nuestra colaboración con otras empresas, pero siempre hay espacio para más. Creo que ahora estamos en el camino de ampliar esa colaboración para avanzar y hacernos más fuertes a la hora de tratar con los malos.
P: ¿Qué sabemos de estas organizaciones criminales?
ÁG: Esto ha evolucionado a lo largo del tiempo. En los albores de la informática y de internet, los ‘hackers’ eran jóvenes que se divertían y buscaban relevancia o fama, pero se dieron cuenta que esto podría dar importantes beneficios.
Ahora estamos inmersos en una segunda fase dominada por mafias organizadas, muy sofisticadas y que operan casi como las empresas. Uno se sorprende de la capacidad que tienen de inversión. Y están muy centrados en su objetivo. De ahí viene quizá una cierta asimetría pues ellos están muy focalizados en vectores concretos de ataques donde despliegan toda su potencia y nosotros tenemos que proteger toda la geometría del banco, contra toda la tipología de ataque y durante las 24 horas del día. Además, estos actores son tremendamente sofisticados en su modelo organizacional e invierten fuertes sumas en I+D y en expertos técnicos. Su motivación es la monetización de sus inversiones y persiguen obtener dinero, un beneficio claro.
La tercera gran oleada, que ya se puede percibir, tiene más que ver con las agencias estatales y la geopolítica, un área más complicada de tratar. Pero está ahí y tenemos que responder. El impacto es mucho más global y añade objetivos como por ejemplo la desestabilización o el espionaje industrial más allá de un mero interés financiero a corto plazo.
P: ¿A nivel tecnológico, los cibercriminales están a la altura de las grandes empresas?
ÁG: Totalmente. Además, el ‘crime as a service’ está muy en boga. Hoy se puede ir a los mercados en la ‘darknet’ y comprar todo tipo de herramientas para atacar a un tipo de objetivo concreto por muy poco dinero. Es brutal. El tipo de tecnología a la que tienen acceso los atacantes es al menos la misma a la que tenemos acceso los que estamos en posición de defensa y, en muchos casos, más letal.
P: ¿Cómo explicas que estén siempre listas para aprovechar cualquier fallo de seguridad?
ÁG: A lo largo del día, todas las empresas sufrimos ataques. Los actores están constantemente escaneando nuestro perímetro, el de nuestra cadena de suministro, y las cuentas de nuestros propios empleados de manera automática para intentar encontrar debilidades que poder explorar. Por eso, nos adelantamos y simulamos estos ataques contra nuestros propios activos y los ponemos a prueba para intentar descubrir estos puntos débiles antes de que lo hagan los cibercriminales.
Además el banco tiene una fortaleza en su orientación ‘data driven’ (basado en datos). En Seguridad estamos totalmente volcados en la aplicación de analítica avanzada para la resolución de problemas extremadamente complejos como pueden ser la detección de patrones anómalos en nuestra infraestructura o en las transacciones.
P: Dentro de la estrategia de ciberseguridad de BBVA ¿qué elementos destacarías como diferenciadores?
ÁG: Tenemos cinco elementos que nos hacen quizás tener un enfoque algo diferente:
- El primero: Tenemos un enfoque integral sobre la seguridad que incluye la seguridad física, la lógica y la estrategia antifraude.
- El segundo: tenemos un enfoque “data centric”. Por un lado ponemos el dato, en su nivel más atómico, en el centro de nuestra estrategia; y al mismo tiempo, al ser la representación de un activo financiero o ser portador de información de carácter personal, consideramos que su protección es esencial.
- En tercer lugar, la utilización de analítica avanzada en su sentido más extendido. Estamos usando la telemetría a la hora de detectar señales e intentar entender qué es distinto y qué está pasando que no tenía que estar pasando. En una empresa de este tamaño -donde tenemos cerca de 130.000 empleados, miles de servidores, miles de redes, millones de accesos, billones de transacciones diarias- encontrar esas señales atípicas no es sencillo con metodología tradicional.
- El cuarto elemento diferenciador es el increíble equipo humano. El proyecto y el enfoque novedoso en Seguridad en BBVA, la cultura y las formas de trabajo nos permiten atraer, retener y desarrollar el mejor talento en un mercado extremadamente complicado.
- Por último, nuestro modelo global, que combina la potencia de las capacidades centrales (todo aquello que necesitan escala o con un componente ‘boutique’ difícil de activar en todos los países) con la potencia y el talento local donde se tiene el conocimiento de los riesgos locales y del usuario y el cliente. La transferencia de conocimiento, tecnología y talento entre los países del grupo BBVA es absolutamente clave en el éxito de la función.
P: ¿La existencia de una comisión de ciberseguridad en BBVA que reporta directamente al presidente y al Consejo es una ventaja a la hora de establecer estrategias globales u obtener más recursos?
ÁG: BBVA lleva años tratando la ciberseguridad al máximo nivel dentro de los organismos de gobierno. La dinámica de la comisión es muy positiva porque su enfoque es siempre apoyar. Esta comisión es un reflejo de la importancia que se está dando a la ciberseguridad, que se trata como uno de los riesgos críticos del banco. Tenemos un gran apoyo y mucha atención.
La ciberseguridad está siempre rodeada de misterio, tecnología, hackers, gestión de información etc…y la realidad es que es eso, pero al mismo tiempo, es una disciplina muy sistemática. Tiene mucho de gestión de procesos, sistematización en la ejecución, evaluación de riesgos y priorización y de implementación de un sistema de gobernanza que satisfaga los requerimientos de un sector tan crítico y regulado.
P: ¿El hecho de que la digitalización aumente nos hace más vulnerables?
ÁG: Sí y no. Lo que está claro es que nuestra superficie de ataque ahora mismo, si se compara con hace 10 años, se ha multiplicado exponencialmente. La oferta de productos y la interacción y operativa con los mismos está prácticamente en su totalidad digitalizada, lo que inevitablemente se ha traducido en que el crimen haya dirigido su atención a este mundo digital más allá del crimen más tradicional o físico.
Además, esto se ha multiplicado aún más en los últimos meses, con la mayoría de la plantilla trabajando en remoto con lo que la geometría de ataque del banco ha cambiado en muy pocos días de manera que hemos tenido que, de forma muy rápida, adaptar nuestra estrategia y servicios de seguridad.
P: Su rol combina la responsabilidad de la ciberseguridad con la seguridad física, más tradicional. ¿Dónde consideras que hay más amenazas? ¿en el mundo online o en el real?
ÁG: Lo que sucede es que los incentivos han cambiado. Ahora, si eres un criminal, tienes menos incentivos en atracar una sucursal. La legislación, dependiendo del país, todavía pena más los atracos físicos a sucursales que un atraco digital, al mismo tiempo en muchos países vemos cómo la sociedad está usando menos efectivo, por tanto, estamos viendo un movimiento gradual del crimen físico al crimen digital, pero la situación depende mucho de la situación de cada país.BBVA tiene integrada la seguridad física, la lógica o ciberseguridad y la política antifraude. Tenemos esa visión de principio a fin de todos los procesos que nos permite pivotar de forma rápida.
P: ¿Cuáles son las nuevas amenazas que van a marcar la ciberseguridad?
ÁG: El acceso a nuevas tecnologías como por ejemplo el ‘machine learning’ o el ‘quantum computing’. Podemos imaginar un futuro donde los criminales utilicen modelos de inteligencia artificial para tratar de detectar los puntos débiles de un banco y de forma automática construir ataques adaptados. O la computación cuántica que permitirá descifrar los algoritmos de cifrado que con los que se protegen actualmente las transacciones.
A nivel motivación y relevancia de actores, nos encontraremos cada vez más con episodios de ciberterrorismo, guerras cibernéticas con capacidad de impacto sistémico y de desestabilización globales.
P: ¿Será la biometría la solución para olvidarnos de las contraseñas?
ÁG: Las soluciones de identificación personal tienen dos partes: autenticación y autorización. ¿Quién eres tú y qué tienes derecho a hacer? Y siempre se dice que la mejor forma es tocar tres palos: quién eres, qué tienes y qué sabes. “Quién eres” engloba la biometría; “qué tienes” engloba los dispositivos (analizamos patrones de comportamiento en relación con los dispositivos de acceso para detectar posibles movimientos sospechosos que nos ayuden a detectar automáticamente posibles infracciones o ataques); y luego está “qué sabes” con las típicas respuestas a preguntas personales.
La suma de todo esto es que nos estamos moviendo muy rápido a un mundo sin contraseñas.
P: ¿Cómo ves el futuro?
ÁG: Las tecnologías de analítica avanzada de datos son fundamentales para entender qué está pasando e identificar y prever puntos de mejora. Entender los datos y poder plantear las preguntas correctas, es la clave. Mucha gente se mete en proyectos de datos sin saber ni qué preguntar, ni cómo preguntarlo. Y ahí está la diferencia. Siempre va a haber robos. La clave es estar mejor protegidos que los demás, incluso mejor que los malos.