Por Iván Arce
Iván Arce, uno de los fundadores de la empresa Core Security y actual responsable del Programa de Seguridad en TIC de la Fundación Sadosky, analiza el papel del Estado, la academia y las empresas en un problema que dejó de ser sólo técnico.
Agencia TSS – A pesar de no haber terminado la carrera de ingeniería electrónica, Iván Arce rescata de sus cuatro años universitarios que estudiar le “enseñó a aprender para formarse por su cuenta”. Su gran escuela fue el trabajo. Corría la década del ‘90, se privatizaban las comunicaciones y el negocio de las tecnologías de la información y la comunicación (TICs) estaba en auge. Mientras tanto, él armaba computadoras, las conectaba y configuraba, desarrollaba aplicaciones y empezaba a poner a prueba su espíritu emprendedor.
Cuando su hermana mayor abandonó la casa familiar, Iván y cinco amigos ocuparon su dormitorio y lo llenaron de computadoras que no descansaban. Esa pudo haber sido la primera oficina de Core Security, la empresa de seguridad informática que en 1996 estos jóvenes hackers pusieron en marcha. “Empezó como una empresa de servicios de seguridad informática. Hacíamos auditorías y pruebas de intrusión; es decir, tratábamos de hackear la red de un cliente y de buscarle los agujeros para detectar las falencias y darle recomendaciones para mejorar el sistema”, cuenta Arce sobre los inicios de la que sería una empresa de escala mundial, con oficinas en Brasil y Estados Unidos.
Protocolo de gestión de vulnerabilidad informática desarrollado por Core Security.
A finales de esa década la empresa viró hacia la producción de software de seguridad informática y revolucionaron el mercado con productos que vulneraban los sistemas y entregaban un diagnóstico a los usuarios. El impulso colocó a la empresa a la vanguardia del desarrollo de seguridad cibernética y hasta la NASA se convirtió en uno de sus clientes. Actualmente, la firma tiene nueve patentes, creó un segmento de la seguridad informática que antes no existía y llegó a los 1.700 clientes. Sin embargo, Iván se sincera y admite que esa realidad es una “una gota en el océano, aunque no deja de ser un indicio de que en la Argentina se pueden hacer cosas de primer nivel en términos de investigación y desarrollo en seguridad aplicada a las tecnologías de la información”.
Pero Core no es el presente de Iván, que dejó la empresa y en 2012 pasó a desempeñarse en el sector público, como responsable del Programa de Seguridad en TIC de la Fundación Sadosky.
¿Por qué decidió abandonar Core y entrar a trabajar en la Fundación Sadosky?
Por varios factores. Por un lado, ver que en la Argentina, desde hace un tiempo, hay toda una serie de iniciativas de impulso al desarrollo tecnológico que están generando nuevas herramientas. Por otro, observaba que la seguridad en TIC en el mundo se iba complejizando y que pasaba a tener un carácter más estratégico y geopolítico. Ya dejó de ser una cuestión meramente técnica. Frente a esta problemática, mi preocupación era conocer lo que se estaba haciendo en materia de seguridad informática en la Argentina. Además, mi interés también era replicar lo que en mi caso había sido una experiencia personal, específica en una empresa del sector privado, y tratar de hacer algo de mayor alcance.
TSS: ¿Con qué se encontró?
En la Fundación hablé con su director ejecutivo, Santiago Ceria, y le comenté mis inquietudes y me pidió que le presentara una propuesta. Entonces le ofrecí armar un programa de seguridad en TIC que buscara articular el sector productivo, el estatal y el sector científico tecnológico para aceitar los vínculos y coordinar proyectos que tengan impacto sobre la población y la industria.
TSS: ¿Qué acciones tiene previstas el programa?
Este año, junto a la Universidad Tecnológica Nacional (UTN), llevamos adelante un proyecto que busca adaptar al contexto nacional una metodología de madurez en la seguridad del software que es utilizada por empresas en todo el mundo. La iniciativa se propone desarrollar los recursos locales para promover, entre las empresas de la industria del software, organismos públicos y organizaciones del sector productivo, el empleo de metodologías orientadas a mejorar la calidad de sus productos en lo referente a la seguridad.
TSS: ¿Qué diferencias encontró entre el sector privado y el público?
En la industria de la seguridad informática las soluciones son cortoplacistas. Se piensa en vender y no importa si el producto es robusto, si funciona bien o si resuelve el problema satisfactoriamente. En el mundo académico está el extremo de pensar en soluciones formalmente mejores, científicamente más robustas y aceptables, pero sin plazos específicos. Y a la hora de aplicar los resultados, en general se necesita mucho trabajo o aparecen imprevistos en su implementación o detalles tecnológicos que en el mundo académico se abstraen. Además, está el Estado como tercer actor que, con todas sus imperfecciones, tiene que estimular a los otros sectores para que crezcan y se acerquen. Este triángulo, el triángulo de Sábato, no es todo lo bueno que podría ser. Si se coincide en que la seguridad en TICs tiene un carácter estratégico y un impacto directo sobre la vida de las personas, hay muchas cosas por hacer.
TSS: ¿La Argentina tiene una política de seguridad en TICs?
Creo que hay iniciativas múltiples al respecto, desde el sector público como desde la comunidad en general. Lo que no podría precisar es cuán coordinada se encuentra esa actividad, y por otro lado qué tanto responde a una estrategia nacional y no a tácticas específicas de cada grupo. Lo que seguro existe es la necesidad de generar esa política de seguridad informática. Uno de los motivos por los cuales estoy en la Fundación Sadosky es porque creo que existe esa necesidad.
La Argentina está en una zona de riesgo medio en ciberataques, como cualquier país altamente informatizado.
Usted considera que el problema de la seguridad informática es multidisciplinario. ¿Cuáles son esas dimensiones?
Hay una cuestión puramente económica, en la que un delito informático tiene como propósito ganar dinero. Hace poco se puso de moda un tipo de ataque que consiste en buscar una cierta configuración en servidores, entrar a la máquina, encriptar todo el disco y después pedir un pago para entregar la clave de desencriptación. Si los ataques son a la infraestructura financiera de un país, ¿a quién le compete intervenir? ¿Al Banco Central? ¿A Defensa? ¿A Economía? Por otro lado, cuando hay problemas con la seguridad de los usuarios, ¿debe intervenir la Justicia? Además, el problema de la seguridad es social. Porque si llega un e-mail con un determinado mensaje y se ingresa en un link, estamos ante un problema que escapa a las soluciones que se pueden pensar. Es un problema del usuario, de diseño del software, de usabilidad, un problema del comportamiento de las personas. Entonces hay cuestiones sociológicas interesantes para abordar.
TSS: Ante esta profusión de ataques, ¿qué tan efectivas son las técnicas de cifrado actuales?
Cuando se piensa en seguridad informática, una de las primeras soluciones mágicas que surgen es encriptar las cosas con algoritmos seguros para que no se las pueda vulnerar. Eso está bien. Lo que sucede es que toda la cuestión criptográfica se rompe, no en la teoría, sino en la implementación, en la práctica. Mi forma de ver las cosas es que la seguridad en TIC se tiene que pensar como un juego entre diversos jugadores que son adversarios, que no son ni buenos ni malos. Es como jugar al ajedrez infinitas veces con muchos jugadores. Cómo se diseña una estrategia para ganar la mayor cantidad de veces es una cuestión que no es determinista, sino de probabilidades.
TSS: ¿Qué importancia tiene en este contexto el desarrollo de tecnología local?
El desarrollo de tecnología propia es fundamental cuando se le confía un carácter estratégico a la seguridad en las TICs. Porque el 99 por ciento de los proveedores de seguridad informática en el mundo no son argentinos y hay evidencia de que algunos de los proveedores de seguridad cooperan con organismos de inteligencia. Entonces, si se toma la seguridad en serio, si se quiere asegurar el tránsito de e-mails y de llamadas telefónicas y la solución es comprar equipos para encriptar comunicaciones, la pregunta que hay que hacerse es quiénes son los que van a vendernos los equipos: empresas que no están radicadas en el país y cuya tecnología no es auditable ni confiable. Frente a ese panorama, o se confía o se desarrolla localmente. Pero tener una industria tecnológica local implica también un sector que aspire a tener alcance global.
TSS: Antes hablaba del crecimiento de la industria del software, pero el alza no es acompañada por las empresas de seguridad informática.
Es un problema que no sorprende y es algo que sucede a escala mundial. Pero en la Argentina estamos en una etapa de desarrollo en la cual todavía tenemos la oportunidad de atender la problemática de seguridad a tiempo. Cuesta mucho más, en términos monetarios, arreglar un problema de seguridad en un software una vez que se ha desplegado y cuenta con millones de usuarios. Si se atiende la problemática temprano se evitan problemas de seguridad y se hace de manera más eficiente con menor costo. Nosotros tenemos facilidad para hacer las cosas de otra forma. Lo que ocurre es que, como en otros casos, hasta que no se rompa….hay una filosofía que dice que si no se rompe para qué tratar de arreglarlo y cuando tengamos problemas después vemos qué hacemos. La seguridad en TICs es reactiva en su conjunto, es natural eso. ¿Para qué gastar en algo que no tengo en claro cuál es el beneficio? Eso es una cuestión que tiene que ver con una dinámica del mercado y con una visión específica del mundo.
TSS: ¿Esa iniciativa sería entonces responsabilidad del Estado?
Si, pero hay una discusión interesante al respecto. ¿Qué es lo que debería hacer el Estado en ese contexto? ¿Regular? ¿Obligar a que se arreglen los problemas? ¿Hay que utilizar el modelo de compra estatal para imponer mecanismos básicos de seguridad en el software o en la tecnología que se adquiere? ¿O hay que incentivar el desarrollo seguro de software? Hay un abanico de opciones y no hay, desde mi punto de vista, una opinión formada e informada sobre cuál es la solución. De hecho, yo no creo que haya una sola solución. Creo que la solución debería tener una combinación de cosas y hay que ver qué combinación es la óptima.
Nota publicada en TSS el Miércoles 18 de diciembre de 2013.