Yaiza Rubio: ¡°Internet ha tra¨ªdo nuevos y muy preocupantes modos de espionaje¡±

La mujer de f¨ªsico poderoso y andares contundentes que entra en el sal¨®n del piso 3? del Edificio Oeste de Distrito Telef¨®nica, la sede de la compa?¨ªa en el madrile?o barrio de Las Tablas, iba para tenista de ¨¦lite, lo dej¨® por el periodismo y luego dej¨® el periodismo por la ciberseguridad, aunque ahora ha dejado la ciberseguridad por el metaverso. No solo internet corre que se las pela y se asoma al umbral 3.0, tambi¨¦n lo hace Yaiza Rubio (Le¨®n, 34 a?os), que m¨¢s bien da la sensaci¨®n de ir ya por el 4.0. Los directivos de Telef¨®nica anunciaron a bombo y platillo, en el reciente Mobile World Congress de Barcelona, su nombramiento como Chief metaverse officer, en rom¨¢n paladino responsable de metaverso, esa especie de mundo virtual y paralelo al que algunos ¡ªcomo ella y sus jefes¡ª auguran una edad de oro y al que muchos ven como una moda que recuerda a cosas ya vistas, tipo Second Life, los tamagotchis y en ese plan.

Rubio fue la primera mujer espa?ola que particip¨® (2017) en DefCON y BlackHat, en Las Vegas, dos de las grandes citas mundiales de ciberseguridad y seguramente las dos grandes misas paganas de los hackers de todo el mundo. En la segunda present¨® junto a su colega F¨¦lix Brezo OSRFramework, un conjunto de herramientas de software libre que daba soporte a procedimientos de investigaci¨®n sobre la huella digital de ciberidentidades con presencia en red, con vistas a detectar e identificar a autores de ciberataques, acosadores o terroristas. Algo as¨ª como una superciberpoli, en suma, bastante preocupada con las nuevas formas de espionaje pol¨ªtico y empresarial. Es cooperante de honor del Instituto Nacional de Ciberseguridad (Incibe) y medalla del M¨¦rito de la Guardia Civil, a algunos de cuyos agentes ha formado en an¨¢lisis de inteligencia y ciberseguridad. Imparte clases de posgrado, participa en congresos, da charlas en colegios e institutos y es autora de libros como Bitcoin: la tecnolog¨ªa Blockchain y su investigaci¨®n o Las aventuras del equipo C¨ªber (Shackleton Books), que acaba de publicar y en el que ofrece consejos para el buen uso de internet por parte de ni?os y adolescentes.

?Qu¨¦ hace una periodista como usted en un sitio como este?

La verdad es que nunca llegu¨¦ a ejercer la profesi¨®n. Hice la carrera, y s¨ª que hice algunos pinitos de periodista deportiva en As. Bueno, en realidad me met¨ª a hacer Periodismo por eso, por el periodismo deportivo, porque yo jugaba al tenis desde los cuatro a?os. Me retir¨¦ a los 17 por estudiar. No digo que fuera a ser Rafa Nadal, pero compet¨ªa a nivel internacional y en mi categor¨ªa estaba entre las mejores. As¨ª que fue por eso: lo del periodismo deportivo me gustaba.

Entonces, ?qu¨¦ pas¨®?

No s¨¦, no llegu¨¦ a cuadrar. Entonces mi padre me pregunt¨® qu¨¦ otra cosa me gustaba, y le dije que algo relacionado con la seguridad. Mi padre es militar, y esa vena estaba en casa; yo nac¨ª en una base militar, en la de Albacete. Somos de Le¨®n, pero mi padre hizo la academia militar de suboficiales all¨ª. Luego le destinaron a Las Palmas. Me crie entre militares.

Y su abuelo, guardia civil.

Eso, adem¨¢s.

O sea, ya llevamos tres uniformes que pudo vestir y no visti¨®: la falda corta de tenista, el de militar y el de la Benem¨¦rita¡­, total, para acabar vestida de ejecutiva en Telef¨®nica.

[Risas] ?Pues s¨ª! Total, que empec¨¦ a formarme en an¨¢lisis de inteligencia, que era algo pr¨®ximo al periodismo, porque analizas informaci¨®n, aunque desde otra perspectiva y con otra rigurosidad diferente¡­ Las primeras pr¨¢cticas despu¨¦s del m¨¢ster fueron en una empresa de seguridad inform¨¢tica. Necesitaban analistas de inteligencia. Tuve suerte, era el momento en que la seguridad inform¨¢tica se empezaba a profesionalizar. Pero me dije: ¡°?Espera, no puedes quedarte aqu¨ª tratando informaci¨®n 7.000 a?os!¡±. Necesitaba aprender a programar, y aprend¨ª, hasta alcanzar un perfil que compagina esa rigurosidad anal¨ªtica con la parte t¨¦cnica. Son dos mundos muy potentes.

Que en su profesi¨®n se complementan, supongo. Sin el uno no tiene sentido el otro¡­

Exacto, hay muy buenos analistas forenses, muy buenos analistas de malware, etc¨¦tera, y son ellos quienes traen las evidencias de lo que ha ocurrido en un incidente y generan hip¨®tesis bas¨¢ndose en esas evidencias. Pero si no est¨¢n bien consolidadas¡­

Bueno, y entonces, una vez controlado el tema del an¨¢lisis de inteligencia y el de la programaci¨®n¡­, llega la palabra m¨¢gica. Se hace usted hacker.

Ja, ja, ja, s¨ª.

Palabra con no muy buena fama, pero parece que no muy bien entendida.

Desde luego.

¡°Hacker, que no cibercriminal¡±, ha dicho alguna vez.

Por supuesto.

¡°Ser hacker es una filosof¨ªa de vida¡±, ha dicho tambi¨¦n. ?Puede explicarse?

Claro. Al final, un hacker tiene una tecnolog¨ªa concreta y la conoce tanto que es capaz de llevarla al extremo. Se trata de intentar sobrepasar los l¨ªmites y ver si se pueden aplicar hacia el mal o hacia el bien. Cuando se dise?an tecnolog¨ªas se hacen con objetivos concretos, pero pueden venir esos hackers malos y usarlas con fines no previstos. Un hacker es eso: intentar examinar las esquinas, las aristas de la tecnolog¨ªa, y ver c¨®mo se puede utilizar. Repito, para el bien o para el mal¡­ que es lo que hacen los cibercriminales.

Un ¡®hacker¡¯ examina las esquinas, las aristas de la tecnolog¨ªa, y ve c¨®mo se puede utilizar... para el bien o para el mal

En su caso, se trata de ponerse en el lugar del otro, ?no? O sea, ?hacer casi como si fuera un cibercriminal¡­ con el fin de detectar las intenciones de ese cibercriminal?

Eso es. Nos tenemos que meter en la mente de la persona que dise?¨® tal tecnolog¨ªa concreta y a la vez en la mente de los malos para ver si esa tecnolog¨ªa se puede usar con fines maliciosos. Y si la respuesta es ¡°s¨ª¡±, entonces hay que discutir con esos dise?adores de software o de hardware para que mejoren los posibles defectos. Si no, los usuarios de esa tecnolog¨ªa se ver¨¢n impactados negativamente.

Esto es un poco como las brujas negras y las brujas blancas¡­

?Es lo mismo! De hecho, nosotros en nuestra terminolog¨ªa hablamos de white hat y black hat [sombrero blanco y sombrero negro].

Le¨ª una cifra que sonaba extravagante: 50.000 millones de ciberataques en el a?o 2021 en Espa?a. ?Esto puede ser?

A ver, esas cifras hay que cogerlas siempre con pinzas.

Vale, pero ?c¨®mo est¨¢ la situaci¨®n en Espa?a con relaci¨®n a otros pa¨ªses de su entorno?

Tenemos unos cuerpos y fuerzas de seguridad y unos organismos p¨²blicos, como la Guardia Civil y el CNI, muy bien formados, y desde hace mucho est¨¢n dentro de la comunidad hacker. Evidentemente, no somos ni los estadounidenses ni los rusos, que llevan toda la vida en esto y tienen unos fabricantes de sistemas de seguridad de la leche¡­, pero tenemos gente muy bien preparada.

?Qu¨¦ nos pueden estar haciendo ahora mismo los cibercriminales en nuestros m¨®viles? Bueno, a usted seguro que menos.

No, no, a todos, a todos. El abanico es infinito. Pueden comprometer el servicio que esa persona est¨¢ usando, por ejemplo si ese iphone o ese Android tiene alg¨²n tipo de vulnerabilidad y el dispositivo no ha sido parcheado a ¨²ltima versi¨®n¡­, y entonces el usuario est¨¢ directamente expuesto. Entre que el fallo de seguridad se produce y el fallo se detecta, quien quiera explotar esa vulnerabilidad la puede explotar.

Ese lapso de tiempo ?es un poco como el ¨¢ngulo muerto de la visibilidad cuando conducimos?

Correcto. Las empresas construyen software. Creen que ese software es seguro porque ha pasado por muchos procesos. Pero siempre puede haber algo. Ellos no lo han detectado, y entonces llega un momento en el que interna o externamente se detecta esa vulnerabilidad. Es en ese abanico de tiempo cuando se produce una exposici¨®n y una vulnerabilidad del usuario. El usuario final es el eslab¨®n m¨¢s d¨¦bil.

Ya, pero aqu¨ª nadie se libra. Ni siquiera Telef¨®nica, que en 2017 recibi¨® el ciberataque WannaCry.

Efectivamente¡­

Una fortaleza saqueada. ?C¨®mo se vivi¨® aquello?

Ser¨ªan como las once de la ma?ana y nos dijeron a todos que ten¨ªamos que desconectarnos de la Red. Y todos a casa. Pero con aquello se aprendi¨® mucho, y no solo nosotros, sino a nivel de Espa?a. Antes de WannaCry sab¨ªamos que era importante que todos comparti¨¦semos informaci¨®n sobre nuestros incidentes respectivos¡­, pero nadie lo hac¨ªa, por miedo. Lleg¨® WannaCry y lo primero que hicimos en Telef¨®nica fue compartir informaci¨®n con el resto de las empresas. Porque Telef¨®nica sali¨® en todos los titulares¡­, pero hubo muchas muchas empresas afectadas.

Volviendo al usuario de a pie¡­ ?Es la privacidad el nuevo oro? Tanto en lo relativo a la seguridad como al negocio de la compraventa de datos personales, quiero decir.

Claramente la privacidad es el nuevo oro. Cuando Google se dio cuenta de que sus mayores ingresos le iban a llegar de crear un buscador y saber qu¨¦ es lo que interesa a los usuarios que buscan, dio en el clavo de su modelo de negocio. Y eso es lo que pas¨® con las plataformas centralizadas. Pero internet se est¨¢ transformando, est¨¢n cambiando ya las mentalidades. Sobre 2005 se fueron creando las grandes plataformas, Google, Amazon, Facebook, Twitter¡­ Le daban al usuario herramientas para ser creador de contenidos, y eso estaba genial. Lo que esas plataformas hicieron en esa primera fase fue captar usuarios. Cuantos m¨¢s usuarios, m¨¢s valioso soy. Pero llega un momento en que tienen que rentabilizar su inversi¨®n. Y esa forma de rentabilizarla es vender datos personales. Pero se est¨¢n produciendo muchas vulneraciones de seguridad y muchos problemas de privacidad con la venta de los datos personales. Y ahora vamos hacia la Web 3, a plataformas descentralizadas donde realmente el poder y los incentivos los tengan los creadores de contenidos y los usuarios.

La privacidad es el nuevo oro. Se est¨¢n produciendo muchas vulneraciones de seguridad con la venta de datos personales

?Puede poner un ejemplo?

?Por qu¨¦ no puede haber una plataforma paralela a Spotify en la que los m¨²sicos se lleven todo el beneficio del pastel, en lugar de llev¨¢rselo la plataforma centralizada? Hoy al creador le pueden quitar un 3%, pero de repente ma?ana le pueden quitar un 30%. En esas plataformas centralizadas ya se ha creado una desconfianza muy grande.

?C¨®mo ha vivido alguien de su perfil profesional todo el asunto de Pegasus y el espionaje?

No entro, aqu¨ª no podemos posicionarnos mucho en esto¡­ A ver, Pegasus no deja de ser un software que alguien ha desarrollado con unos objetivos claros de vigilancia, y desde luego preocupa que ese tipo de software pueda caer en manos de gobiernos o de empresas.

De todas formas¡­ ?de qu¨¦ nos sorprendemos tanto? Podemos hacernos los ingenuos, pero los gobiernos siempre se han espiado, y lo mismo los partidos y las empresas, y miembros de los gobiernos a otros miembros, y socios de empresas a otros socios. Y esto no tiene pinta de cambiar.

Ya¡­ entiendo que los organismos de inteligencia tienen muchos intereses en saber a qu¨¦ se dedican las empresas competidoras y los otros gobiernos, eso se ha hecho siempre. Es cierto, siempre se ha espiado, lo que pasa es que ahora existen m¨¦todos mucho m¨¢s avanzados y tecnol¨®gicos que el mero espionaje f¨ªsico. Internet ha tra¨ªdo otros niveles, nuevos y preocupantes modos de espionaje.

Espionaje, vigilancia¡­, ?sigue siendo 1984, de George Orwell, su libro de cabecera?

S¨ª¡­, bueno, ahora a lo mejor tambi¨¦n es Snow Crash [novela de ciencia ficci¨®n publicada por el estadounidense Neal Stephenson en 1992]. No, pero 1984 es incre¨ªble. No s¨¦ c¨®mo a veces la ciencia ficci¨®n es capaz de prever de esta forma lo que va a pasar en 30 o 40 a?os, porque ese libro al final no es una distop¨ªa: es justo lo que estamos viviendo en el tema de la vigilancia.

Usted tambi¨¦n escribe libros. Ahora ha participado en Las aventuras del equipo C¨ªber, donde aconseja a los m¨¢s j¨®venes sobre c¨®mo utilizar Internet. ?Es una cuesti¨®n de ciudadan¨ªa?

Es que es algo tan necesario¡­, hay que inculcarles que la tecnolog¨ªa est¨¢ muy bien, pero sabiendo utilizarla. Los ni?os ¡ªincluso los profesores¡ª no tienen por qu¨¦ ser expertos en estas materias.

Esa profesora de Ciberseguridad de la escuela Tramontana que protagoniza el libro¡­, ?no deber¨ªa a estas alturas ser una realidad en los colegios y no una ficci¨®n?

Pues podr¨ªa ser muy interesante. No s¨¦ c¨®mo de realista es eso de tener miniyaizas en los colegios, pero la verdad es que este es un asunto muy muy importante.

El acoso escolar ya es, en gran medida, ciberacoso. ?Qu¨¦ hacemos?

Pues, por ejemplo, concienciar a los cr¨ªos sobre Whats?App y todas las plataformas de mensajer¨ªa, y dejarles claro que no son muros de impunidad, que siempre existen m¨¦todos para identificar a quienes est¨¢n detr¨¢s del acoso, y que, si se les detecta, pueden acabar muy mal. Hay personas que creen que lo que hacemos en las redes sociales no tiene impacto real en el otro, que simplemente estamos hablando con un ordenador o un m¨®vil y ya est¨¢. Pero claro que tiene impacto. Y que creen que no tendr¨¢ consecuencias. Y claro que las tiene.

Ahora es usted responsable de metaverso en Telef¨®nica. ¡°Metaverso¡±. Menudo palabro¡­, por cierto, todo el mundo habla de ¨¦l, pero no es seguro que mucha gente sepa lo que es.

La realidad virtual es fascinante, pero eso es algo que existe desde hace mucho tiempo. El metaverso tiene que ver con esas realidades virtuales, pero sobre todo con la evoluci¨®n de internet y su descentralizaci¨®n.

Se llega a sostener que las fronteras entre lo f¨ªsico y lo virtual son cada vez m¨¢s difusas. ?No nos estamos volviendo locos?

?Ja, ja, ja, ja!

Dicen que se pueden comprar parcelas de tierra virtuales. Y ropa virtual.

Claro, querr¨¢s que tu avatar en esos entornos virtuales se pueda vestir, ?no?, lo vas a querer personalizar todo. Los usuarios quieren personalizar sus experiencias, todo. Antes todos los dispositivos m¨®viles eran negros, pero lleg¨® Nokia y dijo: ¡°No, los voy a poner de todos los colores¡±.

Empezamos personalizando camisetas y a ver en qu¨¦ acabamos¡­

Y ojo.

?Ojo qu¨¦?, ?qu¨¦ viene?

Los NFT. Que tienen una propiedad: la de la escasez. Imag¨ªnate que alguien dice: ¡°Voy a lanzar un modelo de Chanel o de Nike, o una lancha r¨¢pida, pero solo una unidad¡±. Y a ver qui¨¦n da m¨¢s. Y por eso los NFT y todos estos activos digitales tienen el precio que tienen. Por esa capacidad de exclusividad y de escasez.

Ah, aqu¨ª ya hemos aparcado la tecnolog¨ªa para entrar en terrenos de la sociolog¨ªa.

S¨ª, claro.

O sea: ya no quiero ser yo, sino otros yoes¡­

S¨ª, s¨ª.

A lo peor porque este yo no me gusta¡­

Oye, no tienes por qu¨¦ elegir un avatar que te represente f¨ªsicamente a ti, de repente puedes elegir ser¡­, ser¡­

Brad Pitt.

?Pues Brad Pitt, por ejemplo! O un mono.

?Todo esto no es un rollo marketiniano que se derrumbar¨¢ un d¨ªa como parece que ya se est¨¢n empezando a derrumbar las criptomonedas?

Yo creo que no. Las plataformas de metaverso no van a necesitar una pila de ingenieros. Las plataformas crean las herramientas para que desarrolladores y creadores de contenidos creen sus propias experiencias. Y eso escala. Cuando cualquiera puede crear lo que sea en estos entornos, eso escala. Porque va a ser de forma sencilla. La gente va a querer estar en el metaverso.

?Por qu¨¦?, ?qu¨¦ tiene de bueno?

Pues que, como usuario, vas a poder vivir experiencias que un mundo f¨ªsico a lo mejor no te las est¨¢ dando.?