Una hora con la exjefa de ciberseguridad de EEUU: "¿Snowden? ¡Es una terrible persona!"

Phyllis Schneck acaba de bajarse de un avión procedente del otro lado del charco. Es la hora de comer y solo quiere una cosa: queso manchego y Coca-Cola. "Soy alérgica a mil historias", se excusa mientras picotea el plato, mira su móvil y esquiva preguntas sobre Trump. La política es su otra gran alergia. "No hablo de ello, estuve en el gobierno pero soy una científica, no una política". Aún así, es probablemente la experta en ciberseguridad que ha pisado más veces la sala de crisis de la Casa Blanca en momentos críticos, muchos de los cuales nunca han llegado a conocerse. "¿Cuántas veces he estado? Buff, muchas".

Schneck fue hasta mediados de 2017 la máxima responsable en asuntos de ciberseguridad del gobierno de EEUU en el Departamento de Seguridad Nacional (Department of Homeland Security, DHS). A su cargo estaban más de 2.000 personas cuyo trabajo diario era detener los ataques informáticos lanzados contra cualquier organismo gubernamental o, si ocurrían, arreglar el entuerto. Y hubo situaciones muy, muy comprometidas. "La peor: cuando robaron los datos personales de 23 millones de ciudadanos accediendo a la base de datos de la Oficina de Gestión de Personal. ¿Cómo le dices a toda esa gente que ha trabajado como voluntaria para el gobierno que sus datos personales han sido robados?", explica en una entrevista con Teknautas.

TE PUEDE INTERESAR

Los mejores 'hackers' de España pasan de alistarse en el ciberejército de Rajoy

Mercè Molist M. A. Méndez

Schneck se ha desenganchado ya del gobierno para regresar al sector privado de donde vino, ahora como directora general de 'ciber risk' en Promontory, una firma de IBM, pero su tiempo en la administración Obama, trabajando codo con codo con la CIA o la NSA en asuntos de ciberseguridad nacional, ha dejado poso. "¿Que qué pienso de Snowden? ¡Es una terrible persona!", dice mientras suelta una carcajada y ataca otro triángulo de manchego. "Es un traidor nacional".

PREGUNTA: ¿Cómo se defiende de ciberataques a un país entero como EEUU?

RESPUESTA: Con mucha cooperación entre agencias y organismos. Yo era 'deputy under secretary' y mi responsabilidad era liderar la estrategia de ciberseguridad para proteger al gobierno. Eso implicaba trabajar con el FBI, la CIA, la NSA, el Departamento de Justicia, el del Tesoro y muchos otros para coordinar acciones y los mensajes que dábamos en la sala de crisis de la Casa Blanca. Nos tocó ir allí bastantes veces.

P. ¿Cuántas?

R. Muchas. Estuve unas pocas veces sentada a la mesa, pero bastantes acompañado a Suzanne Spaulding, la jefa del National Protection and Programs Directorate (NPPD). Me llamaban para cubrir toda la parte técnica y de ciberseguridad. Y no siempre era por un ciberataque. Pero me temo que no puedo ser más específica. Si hay una gran ciberamenaza, nuestro trabajo era mitigarla y crear equipos para limpiar la red mientras aseguras que el servicio sigue disponible. Cuando ocurre hay que responder muchas preguntas, decidir dónde estuvo el error y acordar un posicionamiento como gobierno. Es el tipo de decisiones que se toman en la sala de crisis.

P. Su misión era siempre defensiva: evitar ciberataques pero no realizarlos.

R. Exacto. Teníamos muchas formas de enterarnos de que se acababa de producir un ataque o de que era inminente. Por ejemplo, por la víctima, que nos avisaba. O por nosotros mismos. El gobierno de EEUU tiene un sistema muy avanzado llamado Einstein que bloquea 'malware' y todo tipo de ciberataques. Podemos mirar al comportamiento de quien está tratando de 'hackearnos' y ver si ha ocurrido en otras partes del gobierno.

P. Trump ha asegurado ya en varias ocasiones que quiere desarrollar ciberarmas, no solo defenderse, también realizar ciberataques.

R. Mi objetivo fue siempre defensivo, nunca he pensado en la parte ofensiva. Y es difícil decir cuál es el equilibrio correcto. No es tanto un asunto de dinero, es más pensar cuáles pueden ser las consecuencias de algo así. Sabemos desde hace miles de años que ante una confrontación física la gente responde de vuelta. ¿Qué ocurriría si esa confrontación es digital? Es adentrarse en territorio desconocido.

P. Pero es algo que ya ha ocurrido. Usted ha trabajado con la CIA. Documentos desvelados por Wikileaks el año pasado demostraron cómo la CIA creó 'malware', troyanos y todo tipo de virus informáticos para infectar equipos de terceros para labores de espionaje.

R. No creo que deba responder a eso y no me siento cómoda haciéndolo. Mi misión era en la parte defensiva. Lo otro, la ofensiva, es algo en lo que necesitaría pensar mucho más tiempo antes de ofrecer mi opinión.

P. También ha trabajado con la NSA. Las filtraciones de Edward Snowden demostraron que la NSA realizó un espionaje masivo sobre millones de ciudadanos sin su consentimiento. ¿Qué le parece?

R. Es el problema eterno: privacidad frente a seguridad. Cuantos más datos tienes más potentes son los sistemas para realizar trabajos que las personas no pueden hacer, como analizar millones de datos en segundos y mostrar solo lo que importa. Tiene que haber un debate global sobre qué nos puede ayuar a que la gente tenga la máxima seguridad y la máxima privacidad a la vez.

P. Pero es imposible que a nivel mundial todo el mundo se ponga de acuerdo en esto.

R. Es cierto, solo en EEUU tenemos 49 leyes diferentes sobre notificaciones de filtraciones de datos. Pero ya hay gente que está empezando a mirar cómo se puede hacer esto a nivel global.

P. ¿Qué opinión le merece Edward Snowden?

R. ¿Snowden? ¡Es una terrible persona!

P. ¿Lo dice en serio?

R. Por supuesto, es un traidor nacional. Todos leemos las noticias. Los jueces determinarán qué pasa con él.

P. En las elecciones presidenciales de 2016, 'hackers' supuestamente ligados a Rusia se colaron en el email de Hillary Clinton y otros miembros del Partido Demócrata. ¿Por qué no se pudo evitar ese ataque?

R. No puedo hablar ya en nombre del gobierno de EEUU, y desde luego tampoco en el de Rusia. Pero creo que son asuntos muy pequeños en comparación con un problema mucho mayor. Hemos destruido nuestra capacidad de protegernos. Tenemos una tecnología increíble, redes ultra rápidas, si te envío algo, lo recibirás tanto si quieres como si no. Pero mucha gente podría 'hackear' el móvil que llevas ahora mismo y robar tus datos. No hemos pensado de forma más amplia cómo evitar que eso ocurra antes de crear toda esta tecnología. Y no lo hemos pensado para sectores críticos como el suministro de agua, la energía o los servicios financieros. ¿Cómo innovar y asegurarnos de que esas nuevas tecnologías no dejan todo abierto y más fácil para que ocurran 'hackeos' y ciberataques? Es un asunto fundamental.

¿Cómo defines a un 'hacker'? ¿Es gente que ha reventado sistemas sin permiso? Esos en realidad son criminales

P. ¿Cree que el 'hackeo' del email de Hillary fue el comienzo de la victoria de Trump?

R. Creo que fue un acto criminal. Si ejecutas una instrucción en el ordenador de otra persona sin su autorización es una violación de la ley. Fin de la historia. Creo que no procede dar mi opinión sobre las consecuencias de ese acto o su impacto. Lo importante es que es un delito. Es cierto que fue un acto que despertó a todo el mundo. Dejó claro que los sistemas que usamos son muy vulnerables.

P. ¿Cuál es el punto más débil de EEUU ahora mismo en términos de ciberseguridad?

R. La infraestructura física. Cuando yo estaba en el gobierno fuimos muy transparentes sobre cómo las pequeñas y medianas empresas en el sector energético, no tanto las grandes compañías, están infectadas de 'malware' por todas partes. No es que no se preocupen de ello, es que no tienen los recursos para hacerlo. El punto más débil está en el 'software' que acciona los sistemas físicos, que hace que se abran y se cierren compuertas de agua o circule la electricidad de un punto A a B. Todo eso, bajo el control de un adversario externo, es muy peligroso.

P. ¿Y el ciberataque más preocupante que vivió?

R. El de Wannacry sucedió poco después de irme, de ese me libre. Pero hubo un fallo grave en la oficina de gestión de personal. Un atacante externo logró robar los datos privados y personales de 23 millones de personas. Nuestro equipo, junto al DHS, lideró la respuesta y mitigación, duró meses. Fue muy complejo. Tenías que analizar millones de datos. La parte más dura fue decirle a los ciudadanos que habían trabajado como voluntarios para el gobierno de EEUU que sus datos personales habían sido robados.

P. ¿Por qué dejó su puesto en el gobierno? ¿Fue por el cambio de administración?

R. No. Soy una científica, no una política. Ni siquiera pregunté tras el cambio de administración. Dejé un trabajo estupendo en el sector privado, estuve en el equipo directivo de McAfee, luego en el de Intel. Me llamaron del gobierno para el puesto, lo hice durante casi cuatro años. Y ahora ya tocaba. Quería volver al sector privado.

P. En España, según varios informes del CNI, los ciberataques no paran de crecer, ya somos el tercer país en el mundo en ataques recibidos. ¿Quién los realiza y por qué?

R. El motivo es sencillo: por dinero. El quién los realiza es algo muy difícil de asegurar. Cualquier país puede tener capacidades para lanzar ataques. Encontrar el culpable puede ser un juego de despiste. No me gusta culpar a países sin una prueba real de atribución, y eso en el mundo digital es muy complejo, es muy fácil cubrir tu rastro.

P. Esos mismos informes del CNI señalan que en España sufrimos un ciberataque diario sobre infraestructuras críticas de suministro de agua, electricidad, servicios financieros... ¿Es mucho?

R. Es una forma curiosa de medirlo. Creo que no es tan importante la cantidad de ataques si no lo que ocurre. Un ataque lo puedes definir como lograr ejecutar una instrucción en un equipo de un tercero al que no tienes permiso de acceso. Puedo tener 20 ataques y no pasar nada. Por supuesto quiero saber por qué han ocurrido, pero no me preocupan. Pero uno gordo, como el de Ucrania en 2015, cuando medio país se quedó sin luz y calefacción en pleno invierno, vale por varios cientos de los pequeños.

P. Aquí el gobierno quiso crear una ciberreserva de 'hackers', abogados tecnológicos, especialistas en redes sociales para actuar en caso de ciberataque o amenaza. Los mejores 'hackers' del país, sin embargo, no estaban por la labor.

R. Esto es siempre complicado: ¿cómo defines a un 'hacker'? ¿Es gente muy, muy buena con ordenadores? ¿O es gente que ha reventado sistemas sin permiso? Si es lo segundo, en realidad hablamos de criminales. ¿Va un gobierno a hacer caso a la opinión de criminales sobre cómo hace frente a los criminales? Siempre que unes un grupo de expertos hay que pensar en esto.