Ataques de hackers: Ex oficial de inteligencia y empresario en ciberseguridad israelí cree que "daño puede ser mayor"

Se presenta como un coronel retirado del ejército israelí y ex oficial de inteligencia que devino en un empresario en el rubro de la seguridad empresarial, y ahora último en ciberseguridad. Nir Lempert es ahora la cabeza del Grupo Mer, y en ese rol estuvo la semana pasada en Santiago, en una visita flash de negocios durante la que se juntó con autoridades, ejecutivos y potenciales clientes que prefiere no identificar. Todo, mientras sigue la controversia por ataques de hackers y los riesgos de la seguridad informática en un país que aún no regula esta clase de delitos.

Cuenta que el año pasado comenzaron a abrir líneas de negocios en ciberseguridad, y que "Chile es muy relevante para nuestro potencial mercado: es uno desarrollado y con un gran espacio para desarrollar proyectos en ciberseguridad, porque -como ustedes saben- los 'tipos malos' buscan países ricos, especialmente si no invierten recursos necesarios para protegerse".

Lempert no habla español, y durante la entrevista en inglés intercambia frases en hebreo con sus asesores, uno de los cuales (no) bromea con que "hablamos todos los idiomas". Dice que por lo que han averiguado sus expertos, y tras una primera visita el año pasado, "el nivel de conciencia e inversión en esta área acá es bien prematuro. Mi sensación es que el mercado en Chile no está listo aún". Pero ahora, dice, ve que "hay conciencia, el gobierno y el sector privado se dan cuenta que hay un problema. Y eso es un paso para resolverlo".

Agrega que "en muchos aspectos es un problema de regulación" y que "entiendo que en ahora en Chile el gobierno está lanzando regulaciones", en alusión a los proyectos de ley que prepara el Ejecutivo.

-¿Es un asunto de falta de regulación más que nada, o también de tecnología?

-Cuando hay amenazas cibernéticas serias, no de corto plazo, no es un asunto de invertir dinero y resolverlas, sino un proceso. Para resolver esos temas se necesita una combinación de factores: un fuerte rol del gobierno, del sector privado y académicos. No puedes invertir y apostar todo a corto plazo. Cuesta un montón de dinero, tienes que entrenar personas, etc, es un proceso.

-O también contratar hackers.

-Claro. Es algo de largo aliento. Para enfrentar problemas inmediatos tienes que priorizar, y luego lanzar un plan nacional para esto. El gobierno tiene que tener un fuerte rol en regulación pero además invertir dinero, alentar a los privados, a los académicos, subsidiar. Si hoy o mañana las compañías privadas son atacadas, el daño puede ser enorme. Y en el sector bancario o financiero, la regulación debe obligar a esas instituciones, al sistema bancario, a proteger nuestro dinero.

-Acá tuvimos un ataque de hackers al Banco de Chile en que se perdieron $10 millones, y luego la filtración de datos privados de 14 mil tarjetas bancarias. ¿Son casos demasiado grave?

-Creo que el daño en crímenes como esos es mucho más grande que esos números. Tal vez no todas las compañías lo han dimensionado, pero me temo que el daño puede ser mucho mayor. Es un buen ejemplo de daño potencial. Si los tipos malos se percatan que acá en Chile es fácil perpetrar ciberataques, puede que mañana los tengamos a todos acá.

-¿Oyó alguna vez de "Shadow Brokers", que se adjudicaron el ataque por Twitter?

-No estoy familiarizado. En Israel y otros países ofrecemos servicios de inteligencia contra ciberataques. Creemos que la inteligencia es crucial. Si quieres protegerte contra el terrorismo, no puedes hacerlo con un montón de policías las 24 horas; necesitas recolectar información de inteligencia. Lo mismo vale para la ciberseguridad, y eso ofrecemos para el mercado financiero, telecomunicaciones, empresas de energía, por ejemplo.

-¿Cómo reaccionan sus potenciales clientes cuando le ofrece "servicios de inteligencia contra ciberataques", si eso implica monitorear o interceptar comunicaciones?

-Ofrecemos monitorear el tráfico en las organizaciones y usar nuestras capacidades de análisis para compartirlas con nuestros clientes y afrontar posibles amenazas. Hay clientes que piensan que es muy importante y firman con nosotros, y hay otros que prefieren ahorrar dinero y enfrentar el problema en el futuro. Si comparo esta visita con la anterior, a mediados del año pasado, creo que entienden que no es sólo un asunto de cambiar la password.

-¿Recomendaría a alguna empresa o al gobierno que contratara hackers para cubrirse contra amenazas?

-Es un asunto sensible. Somos una compañía que actúa según la ley, y hasta donde sé hackear no es legal en la mayoría de los países.

-¿Qué tanto tiene que gastar una empresa en ciberseguridad en proporción a su presupuesto?

-No creo que tengas que invertir o gastar demasiado dinero; tienes que hacerlo como un plan. Si dilatas la decisión de hacerlo, te costará más. No es una tremenda inversión. Y muchos gobiernos y empresas olvidan la importancia de entrenar a su gente; hay casos en que simulan ataques para eso. Hay muchas ideas de ahorrarse un gasto mayor.

-¿Cuál es el error más común?

-Ignorar el problema o posponer la inversión en ciberseguridad, o gastar sólo en tecnología y no en el aspecto humano. El 50% de los ciberataques se deben a errores internos y algunos porque quizás alguien está muy molesto con la empresa.

-Pero para prevenirlos deberían espiar electrónicamente a sus propios empleados, sus correos, etc.

-No creo en eso de espiar los empleados. Confío en mis empleados. Cuando tienes un candidato a unirte a tu empresa, puedes chequear su perfil digital, pero eso no es espiarlo.

-Pero el deber de un jefe de ciberseguridad de una empresa, ¿no es tener un mínimo de monitoreo o inteligencia?

-Hay muchas técnicas de monitoreo.

-Usted se presenta como un coronel retirado que sirvió 22 años en la IDF y en inteligencia, en la Unidad 8200. ¿Qué lecciones que aprendió ahí aplica en su negocio?

-En Israel es una organización militar, pero en muchos países mi organización es civil. Cuando piensas como un tipo del mundo de la inteligencia, no dejas de pensar así ni detienes tu servicio. Son capacidades en la forma como pienso, como leo, como me comunico contigo.

-Nunca dejó de ser un oficial de inteligencia.

-Tal vez cuando duermo, no estoy seguro (ríe).

-¿Cómo impacta su historial militar a sus potenciales clientes? ¿Hace más fácil o no cerrar un negocio? ¿Cómo reaccionan?

-Es un asunto personal, confío en las personas y creo que confían en mí. Trato de encontrar una fórmula "win-win".

-Pero de vez en cuando alguien le preguntará si acaso no ha pinchado su celular mientras conversan.

-Hace varios meses tuve una reunión en otro país, no muy lejos. Era un cliente del mercado de las telecomunicaciones, y después se ofrecerle nuestros servicios me preguntó "¿Acaso atacaste mi Outlook? Porque ayer otro tipo me ofreció el mismo asunto". Fue esa vez, pero no hago eso.