«España está muy preparada para protegerse de ciberataques»

Artículo

David Lorenzo Cardiel

@davidlorcardiel

Yaiza Rubio Viñuela (León, 1987) atiende a Ethic por videoconferencia desde su despacho en Telefónica, donde trabaja como analista de inteligencia para ElevenPaths, la unidad de ciberseguridad de la compañía de telecomunicaciones. Hacker, docente e investigadora, Rubio es una de los principales referentes de su sector. Su currículo cuenta con numerosos premios y ponencias, entre ellos, en eventos de gran prestigio en el sector como el DEF CON y Black Hat Briefings. Conversamos con la experta sobre el futuro de la ciberseguridad, el metaverso y e internet.

Usted es una de las principales expertas en España en ciberseguridad y análisis en inteligencia. ¿Qué le impulsó a adentrarse en este campo de estudio desde las Ciencias de la Información?

Cuando vas adentrándote en la carrera universitaria vas viendo un poco por dónde van los tiros. Ejercí de periodista muy poquito, durante la Universidad. No quería cerrarme únicamente en hacer periodismo, que está muy bien, pero tenía otras variantes también en mi cabeza de poder orientar mi carrera profesional al mundo de la seguridad. Es verdad que en el mundo del análisis de inteligencia todo lo que tiene que ver con evaluación de la información es también algo muy propio de la carrera que inicialmente estudié. Pero llegó un momento en el que la parte del análisis de inteligencia asociada a la ciberseguridad era un perfil que se pedían en aquel entonces, y que ahora se pide mucho más. Ahí fue cuando comencé a especializarme más concretamente en tecnología.

El sector en el que trabaja está masculinizado: un informe de la UNESCO indica que apenas un 35% de los estudiantes de STEM son mujeres. ¿A qué se debe este fenómeno? ¿Son necesarias más referentes para animar a las futuras estudiantes a inclinarse hacia los estudios científicos, técnicos e ingenierías?

Desde hace ya tiempo se está dando bastante más visibilidad a este rol femenino y eso es algo muy positivo de cara a las nuevas generaciones. Cuando alguien tiene que elegir cuál es su vocación y a qué quiere dedicarse toda su vida, la probabilidad de confundirse es muy alta. No conoces cuáles son tus puntos fuertes y débiles –los puedes intuir, pero no los conoces porque no sabes muy bien a qué te vas a dedicar–, por lo que es muy difícil decidir cuando dispones de poca información. Pero yo creo que una de las maneras de mejorar la información para cualquier chaval, ya sea hombre o mujer, que tiene que tomar una decisión sobre su futuro es que se hagan visibles todas las profesiones existentes y que se vea que dedicarse a una disciplina no implica ser hombre o mujer. No va de eso, sino de tener ciertas capacidades. Y hay otro asunto: mucha gente se mete en una carrera porque piensa que siempre va a tener trabajo; ese es el error más grande. La clave es que desde pequeñitos tengamos referentes de los dos sexos para saber que ese trabajo se puede hacer y que cualquiera puede hacerlo. Si un número de personas hemos llegado aquí es porque seguro que cualquiera puede llegar hasta aquí.

«Es muy bonito hablar de que el control de los datos lo tendrán los usuarios, pero eso conlleva una gran responsabilidad que hay que trabajar»

Se tiende a relacionar el término hacker con la ilegalidad. ¿Qué grado de verdad se esconde detrás de esta impresión? ¿Existe el buen hacker?

La palabra hacker ya tiene en su significado el hecho de que es el bueno. Realmente, si nos ceñimos a la literalidad, un hacker es la persona que conoce muy profundamente una tecnología y es capaz de buscar ciertos entresijos para mejorarla. Si se encuentra un agujero de seguridad, el hacker lo que hace es dar recomendaciones de cómo parchear ese sistema para que deje de ser vulnerable y no afecte a los usuarios. Es cierto que en función de la ética de cada una de las personas que conocen «tanto» una tecnología está la versión de «lo mejoras» o «te aprovechas». Pero cuando la gente se aprovecha de una tecnología, eso ya no entraría dentro del término hacker. Será, en cambio, un ciberdelincuente. Cuando se habla de hacker es siempre en positivo.

¿En qué grado el ciudadano español y europeo está protegido cuando navega por internet? ¿Y los organismos e instituciones?

El internet que conocemos no tiene nada que ver con el de hace quince años. Por aquel entonces, encontrar algún fallo de seguridad era bastante más probable; ahora estamos más protegidos. En cuanto a instituciones, en concreto en España (hablo de España porque es lo que más conozco), se ha evolucionado muchísimo: nuestros servicios de inteligencia están muy preparados y hay gente muy buena preparada para proteger a nuestro país de ciertos ataques, porque se ha invertido mucho en ello. En la actualidad, a una empresa es mucho más difícil comprometerla en materia de ciberseguridad porque hay muchas más personas especializadas para protegerla. No obstante, en cuanto al usuario final, sí es cierto que hay que trabajar en la concienciación de cómo usar internet de forma adecuada. Y también, evidentemente, de cara a niños y adolescentes que creen conocerlo todo de la tecnología, pero en realidad no. Hay que inculcar ciertos usos buenos.

Ha escrito varios ensayos sobre la tecnología blockchain y la ciberinvestigación. ¿Cuáles son los retos actuales y futuros de internet, en su opinión?

Hay que destacar que partimos de una visión de internet demasiado centralizada desde que nacieron empresas como Google. Al construirse verdaderos imperios y basarse en estructuras tan centralizadas, al final son ellos los que deciden sobre la gobernanza de estas aplicaciones y dejan poca decisión a los usuarios finales. Si en un momento determinado quieren cambiar las reglas del juego para vender datos de carácter personal, por ejemplo, no hay mucho que discutir al respecto. En cambio, ahora estamos viviendo una época muy bonita: el inicio de una nueva era de internet, la Web 3, que promete ese poder a los usuarios, quienes van a poder decidir qué hacer con los datos, custodiar su identidad. Hay que trabajar para hacer evolucionar esta época que ponga al usuario en el centro, donde debe estar.

«Todos deberíamos tener un mínimo de concienciación sobre cómo usar internet de forma segura»

¿Y este empoderamiento se va lograr por la vía privada o también va contribuir el Estado? Es decir, ¿qué rol cree que va a jugar el ente público en la Web 3?

Como toda tecnología, la crean tecnólogos. Y lo primero es saber que funciona, que es algo que puede tener valor para los usuarios. Eso yo creo que está más o menos demostrado. Ahora, hay que eliminar demasiadas barreras de entrada para que los usuarios entiendan bien cuál es la responsabilidad que tienen en torno a sus datos. Porque es muy bonito hablar de que el control lo van a tener ellos, pero ese control requiere también un responsabilidad, por lo que hay que trabajar mucho para hacer fácil todas estas experiencias que todavía hoy tienen muchas barreras. Respecto a la regulación, no me cabe duda que tanto los organismos públicos como otros reguladores se van a meter. Es más, ya lo están haciendo. Como todo, quizá llegan un poquito más tarde que la tecnología, pero me queda clarísimo que van a comenzar a meterse ya para regular este futuro de internet.

¿Cuál va ser el impacto del Internet de las Cosas (IoT) y de la tecnología blockchain en nuestras vidas?

Uno de los cambios más evidentes va a ser que los usuarios tendremos que gestionar tokens. Es decir, vamos a ser recompensados por realizar determinadas acciones como ceder datos, por ejemplo, los de carácter personal… Pensémoslo: ¿por qué iba un usuario a ceder estos datos de forma gratuita? La llamada «tokenización» es algo que va a suceder. De hecho, ese internet tokenizado ya lo estamos viendo, otra cosa es que seamos conscientes en el corto plazo. No tengo ninguna duda de que en unos años ese tipo de incentivos en van a existir en la Web 3. Por otro lado, respecto a experiencias inmersivas, también vemos que van apareciendo casos de usos sobre determinados mundos virtuales donde vamos a poder interactuar de forma mucho más inmersiva con otros usuarios de internet. Por eso, todos –incluyendo adolescentes y personas mayores– deberíamos tener un mínimo de concienciación de cómo usar internet de forma responsable. Es algo muy, muy necesario.

«¿Por qué un usuario iba a ceder sus datos de forma gratuita? La ‘tokenización’ de internet es algo que va a suceder muy pronto»

Usted es la chief metaverse officer de Telefónica. ¿Por qué esta apuesta de la empresa española hacia el metaverso? En especial, tras los vaivenes que está teniendo la iniciativa de Meta? ¿Esta tecnología va a cambiar verdaderamente nuestra manera de relacionarnos con la realidad?

Cuando se publicó esta gran apuesta por Meta, que es un partner tecnológico de Telefónica y también un movimiento enorme en la industria de la tecnología, decidimos que había que invertir en ello. Es decir, contribuir a su posicionamiento y lo que tiene que hacer en torno a la Web 3 y el metaverso. Por eso se hizo la apuesta en el Mobile World Congress de la creación del chief metaverse officer. Lo que intenta conseguir la unidad que yo dirijo es situar esas guías de hacia dónde enfocar nuestro músculo. Desde entonces hasta ahora, hemos tenido tiempo más que suficiente para trabajar en ello. Por eso, el próximo 29 de septiembre se va a anunciar la estrategia de Telefónica en este sentido, además de los productos y servicios que vamos a lanzar.

Hablemos ahora del bitcoin. En los últimos meses, esta criptomoneda ha sufrido un desplome importante que ha puesto en alerta a los inversores. ¿La aparente volatilidad de estas nuevas divisas es parte de su idiosincrasia? ¿Son una oportunidad o un fraude?

Hay que partir de la base de que existen diferentes tipos de criptomonedas. Muchas veces hablamos de stablecoins, que no entran dentro de la categoría de criptos. El ciudadano normal quizás no hace esta diferencia, pero, por ejemplo, estos stablecoins sí que tienen cierta paridad con el euro o con el dólar y cuentan con respaldo. Pero, claro, también entran dentro de la categoría a la que te refieres. Por eso, siempre digo que es necesario conocer el proyecto y qué sustenta ese valor del precio. Y yo creo que es completamente inevitable que determinados proyectos cripto tengan esa volatilidad; es parte de esa tecnología. Hay que ver primero cuáles son los proyectos, conocer bien cómo se conforman, en base a qué y, entonces ya, así, tomar una decisión de comprar, vender, etc. La volatilidad es algo intrínseco, en conclusión. Esto no son euros o dólares, que más o menos sabes cuál es el precio de intercambio y demás.

Cerrando con el asunto de la ciudadanía: uno de sus libros más recientes –Las aventuras del equipo Ciber (Shackletoon Books)– está dirigido al público infantil. Como sociedad, ¿deberíamos de cuidar especialmente el acceso y el alcance de las nuevas tecnologías en este rango de edad?

Hay que llegar a un término medio: si estamos veinticuatro horas conectados a internet seguro que por algún lado vamos a tener cierta repercusión negativa. Como todo, se necesita moderación. Hay millones de herramientas –no sólo para niños, también para adultos– para limitar el acceso a internet. Pero también es cierto que todo el mundo necesita tener ese acceso a estas tecnologías y aprender a usarlas correctamente.