[00:00:23.15] - Paco Martha
Hola, bienvenidos a un nuevo capítulo de Norte Digital, donde platicaremos sobre transformación digital, tecnología, cambio en la cultura y hoy, particularmente, sobre ciberseguridad. Tenemos de invitado a un referente en la industria de tecnología y, particularmente, en la industria de ciberseguridad, Ulises Castillo. Bienvenido, Ulises. Muchísimas gracias por aceptarnos la invitación. Gracias por venir y platicar con nosotros.

[00:01:04.05] - Ulises Castillo
Al contrario, Paco, gracias por la invitación y gracias por la introducción, las porras.

[00:01:08.12] - Paco Martha
Muchísimas gracias. Oye, empecemos platicándonos, platícanos un poco de ti. Construiste una empresa referente en ciberseguridad tú mismo, eres un referente en ciberseguridad. Yo creo que cuando pocos sabían lo que era ciberseguridad, me excluyo de ellos, desarrollaste esta empresa con tu grupo de socios, de asociados. ¿La vendes? ¿Te vas a trabajarla con el grupo que compra? Y hoy ya no estás en eso, estás en otras cosas. Platícanos un poco de ti, pero quisiera que hicieras un poco énfasis en cómo has ido adaptando tu modelo de liderazgo, tu modelo de gestión, a través de esos diferentes momentos en el tiempo?

[00:01:52.19] - Ulises Castillo
Antes de formar Scitum en el 98, tuve la oportunidad de formar mi primera empresa en el 80, cuando estaba yo, tenía 21 años en aquel entonces y no tenía ni idea de cómo formar una empresa. No había el ecosistema que hay hoy de startup, ni de capital semilla, nada de esa era. Y eso me ayudó. En el 93 vendí la empresa y tampoco teníamos… ya para entonces Jorge Varela, que tú conoces, era mi socio. Y aprendimos mucho de todo eso. Formamos Grupo Escándalo, luego me separé de Jorge por visiones. Seguimos la amistad. Y cuando formé, Scitum, ya tenía yo 18 años armando empresas. Entonces, quisimos hacer algo empezando con un modelo de consultoría, porque sentíamos que eso tenía que ser la base, el entender de los riesgos, el transmitirlo en un estudio, en una revisión a los clientes y a partir de ahí construir. Nunca habíamos hecho eso. Entonces, los dos primeros años fueron terriblemente difíciles. Nunca en mis 18 años anteriores como empresario la había sufrido tanto. Y cuando estábamos a punto de perder ya el capital, llegó Toño Fajer con capital de Intel y empezamos a recibir socios externos, lo cual nos dio crecimiento, disciplina y una visión un poco más completa.

[00:03:20.02] - Ulises Castillo
Y algo que fuimos viendo es, escuchaba mucho a los clientes y lo que estaba pasando en Estados Unidos y en otras partes, y tratábamos de adelantarnos a lo que los clientes nos iban a pedir. Así fue que lanzamos el SOC en el 2002. Y la gente, y todavía, incluso mis socios me decían ¿Oye, Seguro? Les dije, esto es lo que nos va a sacar adelante. Y así fue. Eso nos permitió tener contratos a varios años, con los clientes estábamos mucho más cercanos. Pero el SOC realmente completaba una visión de ver consultoría, implementar soluciones o aprovechar más las que ya el cliente tenía. Y entonces, la consultoría, la implementación de tecnología y la gestión y el monitoreo, eso nos dio una visión más completa y nos permitió permitió crecer.

[00:04:32.01] - Paco Martha
Buenísimo. Oye, ¿Cómo ves hoy el tema de ciberseguridad con la tecnología que hay? Porque puedes hablar de blockchain, puedes hablar de inteligencia artificial y puedes hablar de cómputo cuántico. La amenaza que eso representa. Claro.

[00:05:14.19] - Ulises Castillo
Híjole, es una pregunta muy amplia, pero tratando de tomar varias aristas. Hay tecnologías que han logrado reinventarse. El firewall empezó hace casi 30 años, más o menos 30 años. Me tocó ver varias tecnologías que parecían disruptivas, la nube. Pero al final todo ha tenido su tiempo, o sea, no entran para... Con inteligencia artificial pensé que era un poco diferente, que iba a ser realmente superdisruptiva. Si bien ha habido muchas aplicaciones, pero la verdad es que las aplicaciones serias toman su tiempo. Y en ese tiempo la gente se da cuenta de que hay cosas que no son tan sencillas como te las platicaron o nichos que tienen que todavía madurar.

[00:06:44.11] - Ulises Castillo
En el caso de ciberseguridad, la verdad es que hay diferentes enfoques. Los atacantes ya empezaban a hacer desde antes mucho uso de automatización de ataques. Entonces, un ataque automatizado es más difícil de parar o de detectar porque están continuamente haciendo cambios.

[00:08:00.14] - Ulises Castillo
Del lado de la ciberseguridad, donde se empieza a aprovechar es en capturar miles de datos de las diferentes bitácoras de eventos, en poder hacerles sentido y en concentrarte y en automatizar cosas. Eso ya se venía haciendo poco a poco con los correlacionadores llamados CIEMS, con los automatizadores y orquestadores llamados SOAR. Pero el trabajo era brutal. Para sacar el provecho.

[00:08:31.01] - Paco Martha
Sí, es muy demandante.

[00:08:31.23] - Ulises Castillo
Es superdemandante, Banorte lo sabe. Entonces, eso promete simplificarse, como dicen en mi pueblo, con sus asegunes. Pero esa parte ya hay tecnologías que cachan mejor los eventos a través de patrones, a través de identificar, de empezar a usar ciertas cosas, sobre todo a la hora que correlacionas y que tienes grandes datos. Ya se usaba big data, ya se usaba machine learning, ahora se están desarrollando cosas más fuertes. Pero nuevamente, yo creo que en unos de tres a cuatro años, eso se va a empezar a reemplazar por modelos de inteligencia que no requieran tanto cómputo, el entrenamiento sea mucho más fácil y puedas explicar de dónde salieron las respuestas. Hoy, en general, los modelos de LLM no hay explicabilidad por cómo son construidos, no es momento. Pero, yo creo que entonces... Pero esto le está dando un auge a la ciberseguridad y una viabilidad.

[00:09:53.08] - Paco Martha
Porque al final el acceso que tienen los malos es el mismo que tenemos los que estamos del lado de la defensa.

[00:10:32.10] - Paco Martha
Yo pienso que, y déjame hablar por Banorte, somos igual de inteligentes que ellos, tenemos los mismos recursos, tenemos la misma dedicación. La única diferencia es que nosotros jugamos en el camino donde la moral y la disciplina, y las reglas tienen que aplicarse y ellos no.

[00:10:52.08] - Ulises Castillo
Así es. Por otro lado, con que ellos encuentren un camino para entrar y tú tienes que proteger mil. Exacto. Hay una guerra simétrica, eso está definido desde hace muchos años. Hay una guerra simétrica en ciberseguridad. Los buenos tenemos que proteger “n” lugares, los malos tienen que encontrar un solo camino de vulnerabilidad, y la vulnerabilidad es el ser humano, es una nueva tecnología, es una infraestructura de nube que dejaste suelta. Es… Y ahí también entra la complejidad.

[00:11:21.21] - Paco Martha
Oye, hablando de los atributos, déjame empezar por disponibilidad y no por separarlos, porque evidentemente los tres van integrados. Disponibilidad. Cuidar una infraestructura es cada vez más complicado. Hay migraciones a la nube, tienes infraestructuras híbridas en diferentes... Dependiendo de la industria. ¿Qué retos ves tú para cuidar una infraestructura? Considerando lo crítico que se vuelve ahora para industrias como energía, telecomunicaciones, la industria financiera. Hemos platicado recientemente con gente del retail y pues tienen una infraestructura enorme.

[00:12:03.03] - Ulises Castillo
Claro. A ver, se ha empezado a hablar hace unos cinco o seis años y cada vez más de ciberresiliencia. Y yo creo que lo están tomando limitadamente como ¿Qué hago ¿Cómo me levanto después de un ataque? Yo diría es, ¿Cómo me levanto después de cualquier caída? Eso debe ser ciberresiliencia. Y la caída puede ser una falla de un software, un elemento que tengo que ni siquiera sabía. Entonces, tanto para ciberseguridad como para ciberresiliencia, una recomendación es, ten mapas, diagonal diagramas de tu infraestructura, incluyendo las piezas de software. Por ejemplo, el gobierno en Estados Unidos ya exige de las aplicaciones críticas que tengas todo el desglose de piezas, lo que sería como en la industria, un desglose de piezas, una bill of material se llama, que tengas todo ese desglose en las piezas de software. O sea, si estás usando una librería de terceros, qué versión estás usando, etcétera, etcétera, porque en el momento, la indisponibilidad no sabes ni qué está fallando ni dónde lo tienes.

[00:13:22.06] - Ulises Castillo
Y, por otro lado, una selección consciente de decir, okey, esto lo quiero mandar a la nube. Okey, ¿y si falla la nube, en ciberseguridad muchos proveedores ya te dan el servicio desde la nube. Aunque tu infraestructura esté en sitio, esa parte del tráfico va a ir. Pero ya he visto varios casos de proveedores serios, pero que no tienen la disciplina. Proveedores de la tecnología, que ahora te la dan desde la nube, y que no tienen la disciplina de los procesos para la continuidad. Entonces, ahí hay un tema que va a ser creciente.
 

[00:17:05.08] - Paco Martha
Oye, y tú crees que… Porque, por ejemplo, nosotros estamos convencidos que el mayor activo... Tenemos en la en la bóveda mucho dinero de los clientes, pero el mayor activo es el dato del cliente. Así es. Al menos en el Grupo Financiero entendemos que estamos en el negocio de la confianza y para eso tenemos que asegurarle al cliente que su información está perfectamente bien protegida. Tienes la sensación en tu experiencia de ver mucha industria, muchas empresas, que existe esa misma interpretación de las empresas, de cuidar así la información, de garantizarte y también como personas, porque muchas veces como personas andamos dejando nuestros datos en todos lados, vas a un lugar, dejas tu credencial.

[00:17:54.23] - Ulises Castillo
Yo creo que aquí hay un tema de geografías y de edades. Cuando recién nos habíamos formado en el 98, ya en Europa estaban muchas leyes, regulaciones de privacidad de datos. La española fue como de los 2005 o algo así. Aquí nos tardamos en eso. Yo diría que para muchas industrias que deberían de cuidar la información de sus clientes, incluso por regulaciones, todavía esa madurez falta. O sea, al final no debería ser un tema de regulaciones, debe ser un tema de mi negocio, mis clientes, mi modelo, dónde están los riesgos y esos son los que tengo que cubrir. Y las regulaciones las apruebo como consecuencia, no como objetivo. Claro. Dicen que la ciberseguridad dirigida por cumplimiento es la barra más baja que puedes poner.

[00:19:04.01] - Paco Martha
Claro, tiene que ser un tema de convencimiento. Y para cerrar, Ulises, ¿Cuáles serían, en tu experiencia, y ya hablamos de infraestructura, de datos, de respuesta a incidentes. Cuáles serían dos o tres recomendaciones, de lo que tú has aprendido que le podrías dar a empresas que probablemente no tengan la capacidad de invertir lo que invertimos muchos de nosotros, las grandes empresas en de ciberseguridad, pero que tienen que cuidar su información porque son fáciles, blancos de un ransomware. ¿Cuáles serían tus tres recomendaciones que les podrías dar alomejor pequeñas y medianas empresas?

[00:19:46.09] - Ulises Castillo
Lo primero es estar más consciente de dónde están mi infraestructura y dónde están mis datos, porque de repente la gente mueve las cosas a la nube mágicamente. Hace varios años, un director de sistemas de una institución de gobierno muy grande me decía, “Ya están en la nube, ¿Cuál es tu problema? ¿Vas a competir con lo que me da Amazon?”. Le dije, No, pero ellos te dan, de lo que depende de ellos, no me preocupa. Pero tú lo que has montado, depende de ti en un modelo de responsabilidad compartida que no se entendió, y tan no se entendió, bueno no se ha entendido en muchos años, que los proveedores de nube tuvieron que hacer todo un marketing para que se entendiera. Pero bueno, entonces, ¿dónde están tus datos? ¿Dónde está tu información? Es la primera. Y ¿Y cuáles son los escenarios de riesgo? De ahí, tecnológicamente, típicamente vas a necesitar proteger tu red mínimamente con dos cosas, con algo como un firewall, aunque seas chiquitito. Hay firewalls que vienen integrados en los routers, en los routers, en los switches. Pero alguien tiene que configurar, aunque sea las mínimas reglas. Y luego, del punto de acceso, el APC, lo que llaman Access Point, bueno, el endpoint, de ese punto final, necesitas hacer una protección.

[00:21:04.04] - Ulises Castillo
Lo que antes eran los antivirus, ahora son necesarios, pero ya no son suficientes. Los primos grandes de los antivirus son los CDRs. Entonces, ponle algo más fuerte, por lo menos a la PC. Si no la puedes proteger bien, entonces, voy a decir algo muy changarrero, perdón, pero entonces, donde hagas transacciones bancarias, tenlas ahí apagada. Préndela cuando lo vayas a hacer y apágala cuando lo dejes de hacer. El costo de una PC para casi cualquier negocio es mucho menor...

[00:21:34.23] - Paco Martha
Que el riesgo.

[00:21:36.04] - Ulises Castillo
Que el impacto, si un riesgo se materializa. Y entonces me dicen, “¿De verdad estás sugeriéndome eso?” Le dije, es que hay un montón de ataques y algunos ataques ahora que son automatizados, no van dirigiendo nada más a los grandes, van a los que se pueda.

[00:22:08.16] - Paco Martha
Sí, me gustan tus recomendaciones porque vas como por capas a decir entiende el dónde estás, cómo lo tienes, protege tu red y protege los endpoints, las terminales donde entran y capacita. Creo que sería bien importante sensibilizar a la gente.

[00:23:02.19] - Paco Martha
Ulises, muchísimas gracias.

[00:23:04.18] - Ulises Castillo
Nombre a ti Paco, gracias por la invitación.

[00:23:04.18] - Paco Martha
Gracias por tu generosidad en compartir conceptos y recomendaciones. A todos los que nos ven en Norte Digital, muchísimas gracias por vernos. No olviden suscribirse al canal para que estén pendientes del próximo capítulo, donde seguiremos platicando de cómo la tecnología evoluciona, nuestra forma de vivir, nuestra forma de interactuar y cómo colaboramos. Muchas gracias.