Cuando Heather Adkins se incorporó a la plantilla de Google, hace 22 años, no existía ni Gmail. Pero ya entonces, la ciberseguridad era para ella pasión y obsesión a partes iguales, algo que descubrió cuando, trabajando en una pequeña empresa proveedora de internet, sufrió las consecuencias de un ciberataque. Otros, en su lugar, se habrían asustado, pero su primera reacción fue curiosidad, deseos de conocer cómo lo habían hecho. «Mi carrera me encontró a mí», suele decir la que hoy es vicepresidenta de Ingeniería de Seguridad de Google, fundadora del Google Security Team y una de las ponentes estrella de las jornadas sobre Inteligencia Artificial y Ciberseguridad que ha organizado el Google Safety EnginerringCenter (GSEC) de Málaga.
De ella depende la defensa de la multinacional frente a asaltos cibernéticos, la seguridad de las redes, los sistemas y las aplicaciones del gigante tecnológico.
- ¿Cómo fueron los inicios en Google?
- Éramos una empresa muy pequeña y solo teníamos un producto, el buscador. Nuestro modelo era muy diferente al actual y teníamos amenazas muy distintas. Era bonito, y divertido, tener un equipo pequeño. Hoy tenemos más productos y las amenazas han cambiado.
- ¿Cómo ha cambiado Google en estas dos décadas y, en general, el mundo en relación a la ciberseguridad?
- Los tipos de amenazas a las que nos enfrentamos son similares. Lo que ha cambiado es que suceden más a menudo y son más graves. Antes había un incidente al mes, al año y, hoy, los hay cada día.
- ¿Somos realmente conscientes de la importancia de la seguridad en la red?
- Nos estamos volviendo más conscientes. La gente ve las noticias y sufre ciberataques cada vez más y todo eso hace que se sea más consciente.
Para Heather Adkins, como para el resto de Google, el año 2010 supuso un punto de inflexión. Fue entonces cuando la multinacional sufrió un ataque masivo del que surgió, a modo de respuesta, la Operación Aurora, un «punto de inflexión», dice, tanto para la empresa como en general.
- ¿Qué supuso el ataque masivo de 2010? ¿Sirvió para promover cambios a nivel global?
- Siempre nos tomamos la ciberseguridad muy en serio, pero entonces nos dimos cuenta de que había un tipo de amenaza diferente, el espionaje. Lo primero fue hacerlo público, compartir con todo el mundo ese ataque, no solo contra Google, sino contra otras 20 instituciones y empresas. Fuimos la primera empresa que sacó a la luz que había sido atacada por parte de un estado, por parte de China y, a partir de ahí, revisamos los últimos quince años y, desde entonces, lo hacemos de forma diferente. Reconstruimos nuestra infraestructura y decidimos invertir en modelos tecnológicos que hoy son comunes.
- ¿Es Google prácticamente invulnerable ahora?
- Todavía quedan cosas por hacer. Somos conscientes de que existen vulnerabilidades a nivel de software y esperamos que la Inteligencia Artificial nos ayude a arreglar esas vulnerabilidades.
Dice Adkins que la industria de la ciberseguridad está más conectada hoy en día con las tendencias de la geopolítica que cualquier otra cosa. Se ha visto en Ucrania y, más recientemente, en Líbano.
- ¿Se puede hackear cualquier dispositivo, como hemos visto con los buscapersonas y los walkie talkies de Hizbulá?
- Es importante recordar que no han sido hackeados digitalmente, pensamos que han sido capaces de intervenir en la cadena de suministro y fabricación y eso es muy distinto. Pero, si me pregunta por cualquier dispositivo, no existe la seguridad perfecta al cien por cien. Lo que podemos hacer es que no tenga sentido el ataque haciendo la vida del atacante más complicada.
- El hackeo de sistemas informáticos se ha convertido en una poderosa arma de guerra, como sucede con la invasión rusa de Ucrania. ¿Puede ser más devastadora que un arma convencional?
- En mi opinión, no. No es fácil tener los mismos efectos con un ataque digital que con un arma convencional. Es muy difícil matar a alguien. En la mayoría de los casos, en la guerra cibernética se trata de espionaje, de recopilar información o desmantelas sistemas de satélites, eléctricos o de agua y la guerra de Ucrania nos han enseñado que estos sistemas se pueden reparar.
- ¿Qué países son potencialmente más peligrosos?
- Detectamos mucha actividad de Rusia, China, Irán y Corea del Norte, pero la realidad es que cada gobierno tiene un equipo de hackers y depende de para qué lo quieran utilizar. Nosotros estamos muy preocupados por la actividad de organizaciones criminales.
Los procesos electorales tienen un atractivo especial para esta experta en ciberseguridad, coautora de Building Secure and Reliable Systems (O’Reilly 2020) y no es ajena a los intentos de injerencias y manipulación que se dan, dice, por todo el mundo. En Estados Unidos, las elecciones presidenciales están a la vuelta de la esquina (el 5 de noviembre).
- ¿Han detectado un recrudecimiento de los ataques ante la inminencia de los comicios?
- Estamos viendo una gran cantidad de ataques, en forma de desinformación y de hackeos para provocar fugas de datos que persiguen avergonzar a los candidatos. Pero no solo en Estados Unidos. Hay actualmente 50 procesos electorales en todo el mundo y hemos visto interferencias en muchos de ellos, como en Taiwán por parte de Dragon Bridge. Esto es algo que podemos considerar algo casi normal, que sucede frecuentemente en todo el mundo. Lo que hacemos nosotros es intentar asegurarnos de que protegemos lo mejor posible las cuentas.
La Unión Europea acaba de ratificar una sanción de 2.400 millones de euros a Google por abuso de posición dominante, un argumento que refuerza, para algunos, las críticas de hiperregulación. Adkins pasa de puntillas por la polémica.
- ¿Hay demasiada regulación en Europa, es muy diferente de Estados Unidos, por ejemplo?
- Cada lugar del mundo es distinto y respetamos esas diferencias. Hay que tener en cuenta que Europa y Estados Unidos son diferentes, pero promovemos que las buenas ideas se equiparen porque si cada país tiene una regulación muy diferente, nuestra tarea es cada vez más complicada.
Según el último Índice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones, correspondiente a 2024, se han experimentado avances en cuanto a ciberseguridad a nivel global, incluso en África. Pero las diferencias persisten.
- ¿La ciberseguridad es también una cuestión de países ricos y de países pobres?
- Sigue el mismo camino que la digitalización, cuanta más gente haga suya la tecnología, la ciberseguridad será más y más importante. Nuestro objetivo es que, independientemente del país, las personas tengan acceso a una tecnología segura.
- La ciberseguridad es también una cuestión personal. ¿Por qué cuesta tanto cambiar las contraseñas?
- Pienso que las contraseñas no debían existir, llevamos 50 años intentando deshacernos de las contraseñas y estamos en el camino para prescindir de ellas. Las contraseñas siempre fueron una mala idea, nunca debieron existir.
- Usted ha contado que borró las cartas de amor de su marido de su cuenta de correo por temor a que tuviesen acceso a ellas. ¿Tan expuesta está una de las mayores expertas en ciberseguridad?
- Eso se debe a que me dedico a lo que me dedico, a que muchas veces descubrimos a los hackers y, a veces, intentan vengarse. Por ello, hay cosas que he elegido no poner en línea, eso se llama minimización de datos.
Hace más de dos décadas, cuando Adkins comenzó no había casi mujeres y ni siquiera se hablaba de ciberserguridad.
