Yaiza Rubio: “Internet ha traído nuevos y muy preocupantes modos de espionaje”
Experta en ciberseguridad, ‘hacker’ reconvertida en directiva de Telefónica, nueva gurú del metaverso, formadora de guardias civiles y autora de libros. Ahora publica ‘Las aventuras del Equipo Cíber’, donde enseña a niños y adolescentes a usar Internet con seguridad
La mujer de físico poderoso y andares contundentes que entra en el salón del piso 3º del Edificio Oeste de Distrito Telefónica, la sede de la compañía en el madrileño barrio de Las Tablas, iba para tenista de élite, lo dejó por el periodismo y luego dejó el periodismo por la ciberseguridad, aunque ahora ha dejado la ciberseguridad por el metaverso. No solo internet corre que se las pela y se asoma al umbral 3.0, también lo hace ...
La mujer de físico poderoso y andares contundentes que entra en el salón del piso 3º del Edificio Oeste de Distrito Telefónica, la sede de la compañía en el madrileño barrio de Las Tablas, iba para tenista de élite, lo dejó por el periodismo y luego dejó el periodismo por la ciberseguridad, aunque ahora ha dejado la ciberseguridad por el metaverso. No solo internet corre que se las pela y se asoma al umbral 3.0, también lo hace Yaiza Rubio (León, 34 años), que más bien da la sensación de ir ya por el 4.0. Los directivos de Telefónica anunciaron a bombo y platillo, en el reciente Mobile World Congress de Barcelona, su nombramiento como Chief metaverse officer, en román paladino responsable de metaverso, esa especie de mundo virtual y paralelo al que algunos —como ella y sus jefes— auguran una edad de oro y al que muchos ven como una moda que recuerda a cosas ya vistas, tipo Second Life, los tamagotchis y en ese plan.
Rubio fue la primera mujer española que participó (2017) en DefCON y BlackHat, en Las Vegas, dos de las grandes citas mundiales de ciberseguridad y seguramente las dos grandes misas paganas de los hackers de todo el mundo. En la segunda presentó junto a su colega Félix Brezo OSRFramework, un conjunto de herramientas de software libre que daba soporte a procedimientos de investigación sobre la huella digital de ciberidentidades con presencia en red, con vistas a detectar e identificar a autores de ciberataques, acosadores o terroristas. Algo así como una superciberpoli, en suma, bastante preocupada con las nuevas formas de espionaje político y empresarial. Es cooperante de honor del Instituto Nacional de Ciberseguridad (Incibe) y medalla del Mérito de la Guardia Civil, a algunos de cuyos agentes ha formado en análisis de inteligencia y ciberseguridad. Imparte clases de posgrado, participa en congresos, da charlas en colegios e institutos y es autora de libros como Bitcoin: la tecnología Blockchain y su investigación o Las aventuras del equipo Cíber (Shackleton Books), que acaba de publicar y en el que ofrece consejos para el buen uso de internet por parte de niños y adolescentes.
¿Qué hace una periodista como usted en un sitio como este?
La verdad es que nunca llegué a ejercer la profesión. Hice la carrera, y sí que hice algunos pinitos de periodista deportiva en As. Bueno, en realidad me metí a hacer Periodismo por eso, por el periodismo deportivo, porque yo jugaba al tenis desde los cuatro años. Me retiré a los 17 por estudiar. No digo que fuera a ser Rafa Nadal, pero competía a nivel internacional y en mi categoría estaba entre las mejores. Así que fue por eso: lo del periodismo deportivo me gustaba.
Entonces, ¿qué pasó?
No sé, no llegué a cuadrar. Entonces mi padre me preguntó qué otra cosa me gustaba, y le dije que algo relacionado con la seguridad. Mi padre es militar, y esa vena estaba en casa; yo nací en una base militar, en la de Albacete. Somos de León, pero mi padre hizo la academia militar de suboficiales allí. Luego le destinaron a Las Palmas. Me crie entre militares.
Y su abuelo, guardia civil.
Eso, además.
O sea, ya llevamos tres uniformes que pudo vestir y no vistió: la falda corta de tenista, el de militar y el de la Benemérita…, total, para acabar vestida de ejecutiva en Telefónica.
[Risas] ¡Pues sí! Total, que empecé a formarme en análisis de inteligencia, que era algo próximo al periodismo, porque analizas información, aunque desde otra perspectiva y con otra rigurosidad diferente… Las primeras prácticas después del máster fueron en una empresa de seguridad informática. Necesitaban analistas de inteligencia. Tuve suerte, era el momento en que la seguridad informática se empezaba a profesionalizar. Pero me dije: “¡Espera, no puedes quedarte aquí tratando información 7.000 años!”. Necesitaba aprender a programar, y aprendí, hasta alcanzar un perfil que compagina esa rigurosidad analítica con la parte técnica. Son dos mundos muy potentes.
Que en su profesión se complementan, supongo. Sin el uno no tiene sentido el otro…
Exacto, hay muy buenos analistas forenses, muy buenos analistas de malware, etcétera, y son ellos quienes traen las evidencias de lo que ha ocurrido en un incidente y generan hipótesis basándose en esas evidencias. Pero si no están bien consolidadas…
Bueno, y entonces, una vez controlado el tema del análisis de inteligencia y el de la programación…, llega la palabra mágica. Se hace usted hacker.
Ja, ja, ja, sí.
Palabra con no muy buena fama, pero parece que no muy bien entendida.
Desde luego.
“Hacker, que no cibercriminal”, ha dicho alguna vez.
Por supuesto.
“Ser hacker es una filosofía de vida”, ha dicho también. ¿Puede explicarse?
Claro. Al final, un hacker tiene una tecnología concreta y la conoce tanto que es capaz de llevarla al extremo. Se trata de intentar sobrepasar los límites y ver si se pueden aplicar hacia el mal o hacia el bien. Cuando se diseñan tecnologías se hacen con objetivos concretos, pero pueden venir esos hackers malos y usarlas con fines no previstos. Un hacker es eso: intentar examinar las esquinas, las aristas de la tecnología, y ver cómo se puede utilizar. Repito, para el bien o para el mal… que es lo que hacen los cibercriminales.
Un ‘hacker’ examina las esquinas, las aristas de la tecnología, y ve cómo se puede utilizar... para el bien o para el mal
En su caso, se trata de ponerse en el lugar del otro, ¿no? O sea, ¿hacer casi como si fuera un cibercriminal… con el fin de detectar las intenciones de ese cibercriminal?
Eso es. Nos tenemos que meter en la mente de la persona que diseñó tal tecnología concreta y a la vez en la mente de los malos para ver si esa tecnología se puede usar con fines maliciosos. Y si la respuesta es “sí”, entonces hay que discutir con esos diseñadores de software o de hardware para que mejoren los posibles defectos. Si no, los usuarios de esa tecnología se verán impactados negativamente.
Esto es un poco como las brujas negras y las brujas blancas…
¡Es lo mismo! De hecho, nosotros en nuestra terminología hablamos de white hat y black hat [sombrero blanco y sombrero negro].
Leí una cifra que sonaba extravagante: 50.000 millones de ciberataques en el año 2021 en España. ¿Esto puede ser?
A ver, esas cifras hay que cogerlas siempre con pinzas.
Vale, pero ¿cómo está la situación en España con relación a otros países de su entorno?
Tenemos unos cuerpos y fuerzas de seguridad y unos organismos públicos, como la Guardia Civil y el CNI, muy bien formados, y desde hace mucho están dentro de la comunidad hacker. Evidentemente, no somos ni los estadounidenses ni los rusos, que llevan toda la vida en esto y tienen unos fabricantes de sistemas de seguridad de la leche…, pero tenemos gente muy bien preparada.
¿Qué nos pueden estar haciendo ahora mismo los cibercriminales en nuestros móviles? Bueno, a usted seguro que menos.
No, no, a todos, a todos. El abanico es infinito. Pueden comprometer el servicio que esa persona está usando, por ejemplo si ese iphone o ese Android tiene algún tipo de vulnerabilidad y el dispositivo no ha sido parcheado a última versión…, y entonces el usuario está directamente expuesto. Entre que el fallo de seguridad se produce y el fallo se detecta, quien quiera explotar esa vulnerabilidad la puede explotar.
Ese lapso de tiempo ¿es un poco como el ángulo muerto de la visibilidad cuando conducimos?
Correcto. Las empresas construyen software. Creen que ese software es seguro porque ha pasado por muchos procesos. Pero siempre puede haber algo. Ellos no lo han detectado, y entonces llega un momento en el que interna o externamente se detecta esa vulnerabilidad. Es en ese abanico de tiempo cuando se produce una exposición y una vulnerabilidad del usuario. El usuario final es el eslabón más débil.
Ya, pero aquí nadie se libra. Ni siquiera Telefónica, que en 2017 recibió el ciberataque WannaCry.
Efectivamente…
Una fortaleza saqueada. ¿Cómo se vivió aquello?
Serían como las once de la mañana y nos dijeron a todos que teníamos que desconectarnos de la Red. Y todos a casa. Pero con aquello se aprendió mucho, y no solo nosotros, sino a nivel de España. Antes de WannaCry sabíamos que era importante que todos compartiésemos información sobre nuestros incidentes respectivos…, pero nadie lo hacía, por miedo. Llegó WannaCry y lo primero que hicimos en Telefónica fue compartir información con el resto de las empresas. Porque Telefónica salió en todos los titulares…, pero hubo muchas muchas empresas afectadas.
Volviendo al usuario de a pie… ¿Es la privacidad el nuevo oro? Tanto en lo relativo a la seguridad como al negocio de la compraventa de datos personales, quiero decir.
Claramente la privacidad es el nuevo oro. Cuando Google se dio cuenta de que sus mayores ingresos le iban a llegar de crear un buscador y saber qué es lo que interesa a los usuarios que buscan, dio en el clavo de su modelo de negocio. Y eso es lo que pasó con las plataformas centralizadas. Pero internet se está transformando, están cambiando ya las mentalidades. Sobre 2005 se fueron creando las grandes plataformas, Google, Amazon, Facebook, Twitter… Le daban al usuario herramientas para ser creador de contenidos, y eso estaba genial. Lo que esas plataformas hicieron en esa primera fase fue captar usuarios. Cuantos más usuarios, más valioso soy. Pero llega un momento en que tienen que rentabilizar su inversión. Y esa forma de rentabilizarla es vender datos personales. Pero se están produciendo muchas vulneraciones de seguridad y muchos problemas de privacidad con la venta de los datos personales. Y ahora vamos hacia la Web 3, a plataformas descentralizadas donde realmente el poder y los incentivos los tengan los creadores de contenidos y los usuarios.
La privacidad es el nuevo oro. Se están produciendo muchas vulneraciones de seguridad con la venta de datos personales
¿Puede poner un ejemplo?
¿Por qué no puede haber una plataforma paralela a Spotify en la que los músicos se lleven todo el beneficio del pastel, en lugar de llevárselo la plataforma centralizada? Hoy al creador le pueden quitar un 3%, pero de repente mañana le pueden quitar un 30%. En esas plataformas centralizadas ya se ha creado una desconfianza muy grande.
¿Cómo ha vivido alguien de su perfil profesional todo el asunto de Pegasus y el espionaje?
No entro, aquí no podemos posicionarnos mucho en esto… A ver, Pegasus no deja de ser un software que alguien ha desarrollado con unos objetivos claros de vigilancia, y desde luego preocupa que ese tipo de software pueda caer en manos de gobiernos o de empresas.
De todas formas… ¿de qué nos sorprendemos tanto? Podemos hacernos los ingenuos, pero los gobiernos siempre se han espiado, y lo mismo los partidos y las empresas, y miembros de los gobiernos a otros miembros, y socios de empresas a otros socios. Y esto no tiene pinta de cambiar.
Ya… entiendo que los organismos de inteligencia tienen muchos intereses en saber a qué se dedican las empresas competidoras y los otros gobiernos, eso se ha hecho siempre. Es cierto, siempre se ha espiado, lo que pasa es que ahora existen métodos mucho más avanzados y tecnológicos que el mero espionaje físico. Internet ha traído otros niveles, nuevos y preocupantes modos de espionaje.
Espionaje, vigilancia…, ¿sigue siendo 1984, de George Orwell, su libro de cabecera?
Sí…, bueno, ahora a lo mejor también es Snow Crash [novela de ciencia ficción publicada por el estadounidense Neal Stephenson en 1992]. No, pero 1984 es increíble. No sé cómo a veces la ciencia ficción es capaz de prever de esta forma lo que va a pasar en 30 o 40 años, porque ese libro al final no es una distopía: es justo lo que estamos viviendo en el tema de la vigilancia.
Usted también escribe libros. Ahora ha participado en Las aventuras del equipo Cíber, donde aconseja a los más jóvenes sobre cómo utilizar Internet. ¿Es una cuestión de ciudadanía?
Es que es algo tan necesario…, hay que inculcarles que la tecnología está muy bien, pero sabiendo utilizarla. Los niños —incluso los profesores— no tienen por qué ser expertos en estas materias.
Esa profesora de Ciberseguridad de la escuela Tramontana que protagoniza el libro…, ¿no debería a estas alturas ser una realidad en los colegios y no una ficción?
Pues podría ser muy interesante. No sé cómo de realista es eso de tener miniyaizas en los colegios, pero la verdad es que este es un asunto muy muy importante.
El acoso escolar ya es, en gran medida, ciberacoso. ¿Qué hacemos?
Pues, por ejemplo, concienciar a los críos sobre WhatsApp y todas las plataformas de mensajería, y dejarles claro que no son muros de impunidad, que siempre existen métodos para identificar a quienes están detrás del acoso, y que, si se les detecta, pueden acabar muy mal. Hay personas que creen que lo que hacemos en las redes sociales no tiene impacto real en el otro, que simplemente estamos hablando con un ordenador o un móvil y ya está. Pero claro que tiene impacto. Y que creen que no tendrá consecuencias. Y claro que las tiene.
Ahora es usted responsable de metaverso en Telefónica. “Metaverso”. Menudo palabro…, por cierto, todo el mundo habla de él, pero no es seguro que mucha gente sepa lo que es.
La realidad virtual es fascinante, pero eso es algo que existe desde hace mucho tiempo. El metaverso tiene que ver con esas realidades virtuales, pero sobre todo con la evolución de internet y su descentralización.
Se llega a sostener que las fronteras entre lo físico y lo virtual son cada vez más difusas. ¿No nos estamos volviendo locos?
¡Ja, ja, ja, ja!
Dicen que se pueden comprar parcelas de tierra virtuales. Y ropa virtual.
Claro, querrás que tu avatar en esos entornos virtuales se pueda vestir, ¿no?, lo vas a querer personalizar todo. Los usuarios quieren personalizar sus experiencias, todo. Antes todos los dispositivos móviles eran negros, pero llegó Nokia y dijo: “No, los voy a poner de todos los colores”.
Empezamos personalizando camisetas y a ver en qué acabamos…
Y ojo.
¿Ojo qué?, ¿qué viene?
Los NFT. Que tienen una propiedad: la de la escasez. Imagínate que alguien dice: “Voy a lanzar un modelo de Chanel o de Nike, o una lancha rápida, pero solo una unidad”. Y a ver quién da más. Y por eso los NFT y todos estos activos digitales tienen el precio que tienen. Por esa capacidad de exclusividad y de escasez.
Ah, aquí ya hemos aparcado la tecnología para entrar en terrenos de la sociología.
Sí, claro.
O sea: ya no quiero ser yo, sino otros yoes…
Sí, sí.
A lo peor porque este yo no me gusta…
Oye, no tienes por qué elegir un avatar que te represente físicamente a ti, de repente puedes elegir ser…, ser…
Brad Pitt.
¡Pues Brad Pitt, por ejemplo! O un mono.
¿Todo esto no es un rollo marketiniano que se derrumbará un día como parece que ya se están empezando a derrumbar las criptomonedas?
Yo creo que no. Las plataformas de metaverso no van a necesitar una pila de ingenieros. Las plataformas crean las herramientas para que desarrolladores y creadores de contenidos creen sus propias experiencias. Y eso escala. Cuando cualquiera puede crear lo que sea en estos entornos, eso escala. Porque va a ser de forma sencilla. La gente va a querer estar en el metaverso.
¿Por qué?, ¿qué tiene de bueno?
Pues que, como usuario, vas a poder vivir experiencias que un mundo físico a lo mejor no te las está dando.