"Hoy en día ninguna empresa está a salvo del cibercrimen. Tampoco las personas"

Hablar de ciberataques es hacerlo en los últimos tiempos de Rusia o China. ¿Cómo están cambiando las reglas del juego geopolítico?

Hay un tablero geopolítico en el mundo físico y otro en el digital. A nivel digital, está el grupo, que llamamos de los cinco ojos, que son Estados Unidos, Reino Unido, Nueva Zelanda, Australia y Canadá. Y yo ahí metería también Israel. Por otro lado, hay un actor que es Rusia, otro que es China y después tenemos actores, como Corea del Norte o Irán. Y luego estamos Europa y y Latinoamérica como actores fundamentalmente pasivos, que recibimos mucho ataque y hacemos poco. Tienen objetivos diferentes. Rusia, lo hemos visto en Ucrania, tiene interés geoestratégico en tener una posición de privilegio en las redes de sus objetivos. China, mientras, decidió que era mucho más barato robar que investigar, con lo cual se ha dedicado a robar tecnología y propiedad intelectual.

¿Y por qué Europa es pasiva?

En Europa, los derechos fundamentales se toman muy en serio y, por tanto, podemos perseguir los ciberdelitos. En Rusia y en China, no. Creo que somos pasivos porque nuestros equipos de ciberseguridad se dedican a defendernos, no se dedican a atacar a países o a personas.

¿Puede sufrir España una paralización de instalaciones clave cada vez mayor o no está entre los objetivos más claros?

El riesgo es acorde a nuestro PIB. Quizá un poco más de lo que nos correspondería, pero tenemos el riesgo acorde a la protección a la inversión que están haciendo nuestras empresas y nuestros organismos públicos en ciberseguridad. Desde el punto de vista geopolítico y geoestratégico, pues evidentemente somos un actor de peso en el mundo. Formamos parte de Europa y de la OTAN, tenemos acceso a información y por tanto somos un objetivo clarísimo.

¿Qué sectores corren más riesgo?

Depende a qué te refieras con el riesgo. Si hablamos de cibercrimen, los que más estén dispuestos a pagar. Hace años sí que decía sectores que eran más vulnerables o más atacados, como la Administración General del Estado, la banca o la energía, porque son infraestructuras críticas. Pero nadie está a salvo. Ni las personas. Hoy en día el cibercrimen apunta hacia los objetivos más sencillos y que mayor rentabilidad pueden dar. Es una cuestión de cuánto dinero voy a conseguir por el esfuerzo que me va a implicar y el retorno que voy a tener desde el punto de vista económico o geopolítico.

¿Es consciente la sociedad de las formas en las que se puede producir uno de estos ataques?

Para nada. Hay determinadas organizaciones, sobre todo empresas grandes e infraestructuras críticas, que sí han tomado conciencia. La sociedad en su conjunto está muy lejos de tener ni siquiera la menor idea de lo que está ocurriendo. Utiliza aplicaciones como TikTok u otras que son verdaderas bombas. Mal utilizadas, son herramientas de espionaje. Y no está pasando nada. Hasta que no tengamos conciencia del problema, es imposible que lo resolvamos.

Y en el tema de las empresas valencianas, ¿en qué situación estamos?

La Comunitat Valenciana, dentro de lo que es España, tenemos un grado de avance en materia de ciberseguridad muy fuerte. Los distintos gobiernos han apostado por tener centros de operación y de seguridad muy potentes. Desde el punto de vista privado es evidente que las empresas grandes han estado más atacadas y por tanto han invertido más. Las pymes no están en esta guerra y son parte de lo que llamamos la cadena de suministro. Una cadena se rompe por el eslabón más débil. Y si este es una pyme, van a por la pyme para causarle daño a la grande. Es una gran red. Tenemos que resolver el problema de forma global.

¿Y hay sectores que son reacios a apostar por la ciberseguridad?

Todos en general, porque es un gasto que no está previsto. No puedes apostar por tecnología sin apostar por ciberseguridad. Eso es una locura porque tarde o temprano vas a tener un incidente seguro. Y no se está haciendo.

Cada vez más la Inteligencia Artificial se halla en el día a día, igual que sus riesgos. ¿Es posible aún regularla como quiere la UE?

Es muy difícil ponerle puertas al campo una vez tienes la tecnología encima de la mesa. La tecnología no es mala ni buena. Lo que es malo o bueno es el uso que se hace de ella. La inteligencia artificial generativa puede tener potencialmente muchísimos problemas. Al regularla hay que andar con mucho cuidado porque un exceso de regulación merma la capacidad de competición y eso lo que puede hacer es ir en contra del desarrollo tecnológico europeo, que nuestras empresas no sean competitivas. En China no van a regular esto en la vida.

¿Y se puede lograr un blindaje total ante las amenazas?

Para nada. La seguridad 100% no existe ni en el mundo físico ni en el virtual. Además, uno de los problemas que tenemos es que los incidentes, cuando ocurren, no se cuentan desde las empresas y las organizaciones los esconden. Tenemos que salir a contar lo que está pasando en general. A partir de ahí, lo que hay que hacer es gastarse dinero.

Cada vez se habla más de ciberseguridad. ¿Se está traduciendo en un negocio que crece disparado?

Está creciendo mucho, pero mucho menos de lo que debería crecer porque falta talento. No tenemos gente que sepa.

Ustedes pusieron en marcha la escuela Enigma, ¿se trata de fomentar ahí ese talento?

Se ha hecho por pura necesidad. Esto ha venido muy rápido a la sociedad y las universidades son lentas. No existen muchas titulaciones de ciberseguridad. Y si las crean ahora, dentro de cuatro años saldrán los primeros graduados. Pero es que yo los problemas los tengo mañana. Hemos tenido por necesidad que crearnos nuestra propia universidad cuando yo no me dedico a esto. Es antinatural.

¿Y hay mayor interés de la ciudadanía que se quiere formar para trabajar en la ciberseguridad?

Sin duda. Conforme va habiendo más información de lo que está pasando y la sociedad va tomando la percepción del riesgo. Tenemos paro cero, es un sector demandante de talento y la gente joven lo va viendo. Y van pidiendo en másteres y cursos que les den un poco de capacidades para poder enfrentarse al mundo de la ciberseguridad.

Viendo todo ello, ¿hay algún perfil que demanden ya todas las empresas en ese sentido?

En el mundo de la ciberseguridad, los empleos varían mucho. Hace unos años un ingeniero industrial no se dedicaba a la ciberseguridad. Pues ahora, sí. Por ejemplo, yo necesito médicos que quieran ayudarme a proteger no hospitales, sino maquinaria. Hay un montón de disciplinas que deberían formarse en ciberseguridad.

Vayamos a su empresa, S2 Grupo. Se ha colado en un mundo de gigantes extranjeros. ¿España y su tecnología están escalando posiciones en el ámbito tecnológico?

España y la tecnología no se han llevado muy bien. Siempre nos hemos visto como gente que no tenemos capacidad para desarrollar tecnología. No estoy para nada de acuerdo. Tenemos capacidad para desarrollar tecnología puntera y un ejemplo somos nosotros. Europa y España en particular han apoyado poco a las empresas que invierten mucho en investigación y desarrollo en lo que llamamos activos intangibles. Pero eso está cambiando. Una de las cosas que hemos apostado algunas empresas como la nuestra es en querer trabajar solo en ciberseguridad. Mi trabajo es averiguar por dónde han entrado los malos para que no vuelva a suceder.

¿Y, con todo esto, cómo está siendo la expansión de S2 Grupo?

Una empresa de ciberseguridad como la nuestra tiene obligación de estar invirtiendo en investigación y desarrollo todo el tiempo. Yo siempre me he sentido, entre comillas, poco apoyado en materia de inversión en I+D, sobre todo por la búsqueda de financiación. No voy a dejar que entre en una empresa como la nuestra, un capital chino, saudí o americano. Mi objetivo es que tengamos una empresa de ciberseguridad con tecnología propia, española, y hay veces que eso no es fácil. Por eso es complicado crecer.