Soledad Antelada Toledano se comporta como un hacker, pero de los «buenos». Hace exactamente lo mismo que un atacante haría al poderosísimo sistema de ciberseguridad para el que trabaja.
Reconoce la superficie de ataque, penetra, detecta puntos débiles, estudia el riesgo. Debe anticiparse a la mente del hacker, pensar como él para defenderse.
Con frecuencia aparecen noticias preocupantes: «‘Colosal’ ciberataque golpea a cientos de empresas en EE.UU.»; «EE.UU. declara estado de emergencia tras un ciberataque a la mayor red de oleoductos del país».
Cuando hackearon esa red de oleoductos el pasado mayo, hubo que cerrarla por prevención, poniendo en peligro el suministro de combustible para gran parte del país.
Antelada afirma que los hackers nos llevan ventaja y que las consecuencias de ataques a infraestructuras críticas, como sucedió con el oleoducto Colonial, pueden ser devastadoras.
Antelada es ingeniera de sistemas informáticos de la división de ciberseguridad del Berkeley Lab en California, en concreto protegiendo al Departamento de Energía de Estados Unidos.
Nacida en Argentina y criada en España, es la primera mujer y primera hispana en trabajar en este departmento del Berkeley Lab, el prestigioso centro del que han salido 14 premios Nobel.
BBC Mundo la entrevistó para hablar sobre su trabajo, los retos de la ciberseguridad y el papel de la mujer en una industria «muy estereotipada».
¿Cómo es eso de que te haces pasar por hacker en tu trabajo?
El sistema se llama penetration testing y consiste en comportarte como un atacante, haciendo lo mismo que haría un hacker.
Analizo por dónde puede ser más fácil atacar, definir qué merece la pena y cuál podría ser el objetivo: ¿atacar el sistema financiera de una entidad, el departamento de salud, un supercomputador o robar información científica y social?
Luego realizo un reconimiento de vulnerabilidad para definir dónde están los agujeros de ciberseguridad. Si los descubres, hay que arreglarlo. Obviamente no quieres que nadie los vea. Hay que taparlos para que nadie pase por ahí.
¿Qué podría pasar si algunas de las redes más poderosas del mundo, como la tuya, caen en manos criminales?
Si un supercomputador cae en manos de agentes maliciosos, son una máquina de poder de procesamiento muy grande. Serviría como arma arrojadiza para atacar al resto del mundo.
Hablamos de máquinas de 2.000 procesadores, como tener 2.000 computadoras trabajando juntas. Mucha potencia para atacar.
Es como tener una red de computadoras alrededor de muchas localidades distintas que se han ido infectado y se controlan remotamente desde un sitio único.
Tienen que infectar muchas computadoras para tener una potencia de ataque como para indicarle atacar una red eléctrica, por ejemplo.
Pero si tienes esa potencia concentrada en un solo sitio y la hackeas, ya lo tienes.
¿Y qué tan graves podrían llegar a ser estos ataques?
Es difícil de imaginar porque todo está muy interconectado.
Uno de los miedos más grandes son las infraestructuras críticas porque un ataque a estas causaría un daño directo a las personas.
Si se te va un grid eléctrico en medio de un invierno siberiano la gente puede pasarlo muy mal.
Algo parecido a lo que sucedió en Texas (una tormenta invernal que dejó decenas de muertos y millones sin electricidad el pasado febrero). En ese caso no fue un ataque informático, pero son consecuencias similares terribles que podrían ocurrir.
Imagínate que ataquen un embalse. Descarguen el agua y puede inundar hasta pueblos.
Si penetran en el sistema de control de los aviones también puede ser fatal.
Luego, siguiendo un efecto dominó, mucha gente habla de un escenario en que se pueda caer internet. Es difícil porque se trata de una red con muchos sistemas, pero podría ocurrir un apagón grande o parcial, por países, si se ataca la red global.
Ponte a pensar, sobre todo en este momento de la historia en que muchos hemos estado trabajando desde casa. Si se cae internet, se pierde muchísimo dinero y bajarían los sistemas productivos.
Tampoco fue un ataque cibernético, pero mira lo que pasó en el Canal de Suez. El barco quedó atracado y se produjo un efecto dominó que afectó hasta los mercados.
Los ataques estratégicos pueden afectar bolsas de valores y economías en el resto del mundo. Hay ataques que cuestan muy poco lanzarlos pero generan un daño masivo.
Ese sería el gran peligro.
¿Entonces veremos más ataques a infraestructuras críticas como el oleoducto Colonial en Estados Unidos?
Los expertos en ciberseguridad llevábamos mucho tiempo diciendo que un ataque así pasaría.
Hemos repetido que hace falta ponerle atención a la ciberseguridad, que necesitamos más profesionales, que hay mucha deficiencia y que en realidad es muy fácil atacar todo.
Muchos sitios, organizaciones y entidades públicas no están a la altura de tener sistemas de seguridad seguros.
Es cierto que en los últimos años se ha avanzado y que hoy se atiende y prioriza más que antes.
Pero hubo un tiempo muy grande en que no se le prestaba atención y todo era más difícil.
Siempre se ha avisado del peligro de las infraestructuras críticas. Está pasando ahora.
Advertimos que podía haber ataques a los grid de electricidad, sistemas aeropuertarios e infraestructuras que nos afectan a todos.
Esta segunda ola de ciberataques es un aviso de que debemos poner aún más recursos para la ciberseguridad.
Es difícil predecir cuán frecuentes y si seguiremos viendo más ataques de ese tipo. Espero que no y que los últimos hechos sirvan como llamado de aviso y prevención.
¿Dirías entonces que los hackers nos llevan ventaja?
Sí, puede decirse así.
El tema es que quien está en el lado oscuro tiene mucha más intención y tiempo.
Los que defendemos somos menos porque hay poca gente especializada. No damos abasto. Por eso a veces nos ganan la partida.
Como te digo, igual cada vez hay más gente y se le intenta poner más recursos. Aún así, seguimos un poco a la cola.
Hay muchos tipos de hackers, son más y tienen más tiempo. Son 24 horas intentando entrar en el sistema. Y tú tienes que estar 24 horas intentando parar esos ataques.
No es lo mismo la ofensiva que la defensiva. La ofensiva no tiene otra cosa que hacer que entrar y al final consigue hacerlo por algún lado.
¿Qué pretenden realmente los hackers?
Siempre han buscado varias cosas. En los comienzos una de las grandes motivaciones era hackear por hackear. Decir que lo habías hecho. Meterte dentro del sistema de un gobierno y presumir de ello anónimamente.
Luego, la principal motivación siempre ha sido económica.
Puedes meterte en Amazon y cambiar todos los precios. Es lo que hacían antes. La web de Amazon estaba tan mal hecha que podías alterar los precios y algo que costaba 100, lo comprabas a 10 y hacías negocio.
Puede extorsionarse mediante emails, realizar scams, hay muchas formas.
Y luego, por supuesto, el ramsonware, pidiendo un rescate.
Uno de los casos más típicos es hackear un banco o entidad financiera. Se han perdido millones y millones.
También pueden robarse datos y venderlos en el mercado negro que es muy lucrativo.
¿Cómo se lleva ser la primera mujer en trabajar en el departamento de ciberseguridad del Berkeley Lab? ¿Qué tan relevante es la figura femenina en esta industria?
Cuando entré hace 10 años no sabía que era la única, la primera en la historia.
Esto pasa mucho en el sector de la tecnología en general. Hay sectores en los que hay más mujeres, pero la ciberseguridad es uno de los que menos. Está muy estereotipado.
El estereotipo del perfil de una persona que se dedica a esto ha sido muy poco atractivo para las mujeres.
El especialista en ciberseguridad siempre ha sido catalogado como el típico chico poco social, que utiliza un hoodie para estar toda la noche metido en el ordenador, no sale a la calle, no hace deporte, no socializa.
En definitiva, que la mujer en un momento dado se dio de lado, a partir de los 80, con el boom del ordenador personal y toda la publicidad dedicada a los hombres.
Desde entonces, para mí no ha habido una intención de que eso deje de pasar.
Lo veo en las universidades. Cuando yo estudiaba éramos un 15% en Informática y hoy diría que ronda el 8%. O sea, hay incluso menos.
Si me preguntas por qué, no tiene ningún sentido. Todos podemos ser igual de buenos en la ingeniería.
De hecho, la ciberseguridad necesita varios perfiles, porque es un campo muy amplio en que se abarca mucha temática.
Es fundamental intentar influenciar a la gente joven. A nivel académico no veo iniciativa suficiente para atraer mujeres a este ámbito.
Estoy generalizando un poco, no es que sea así en todos lados. Algunas universidades están haciendo esfuerzos, pero otras no hacen nada.
Una pena, porque en general, con poco se puede hacer mucho.