"Detrás de WannaCry hay un tipo que se hace llamar Messi"

Chema Alonso llega sonriendo, como siempre. Con ese punto macarra pero elegante que dan ciertos barrios de la capital. Quizá por eso es fan de Rosendo y del Real Madrid al mismo tiempo. Madruga todos los días para pedalear veintiséis kilómetros por uno de los grandes parques de la ciudad antes de ejercer como CDO (Chief Data Officer) en Telefónica -es el sheriff de los datos en la compañía, para que se entienda-.

Su libro de cabecera es Un mundo feliz, de Aldous Huxley y es un fanático de Star Wars. No faltan galleteros con motivos de la saga en su casa. De hecho, cuando le preguntamos que quién merecería ser hackeado, no lo duda: George Lucas. No le perdona haber creado a Jar Jar Binks, personaje muy criticado por la parroquia de feligreses de Star Wars.

Hay vida más allá de su sempiterno gorro. Sobre todo, inquietud, en el buen sentido. En el de descubrir y aprender. Nosotros se lo hemos quitado durante una hora en la sede de Telefónica.

¿Cómo ves el virus Petya? ¿Es igual que WannaCry?

Petya es un ransomware que ya existía antes, igual que WannaCry. Ambos utilizan una vulnerabilidad de Windows para viralizar mucho más el ransomware. En el caso de WannaCry lo que teníamos era una vulnerabilidad que los equipos que no estuviesen parcheados se vieran afectados. En este caso la vulerabilidad de Microsoft era muy reciente y muchas compañías no habían finalizado todavía los procesos de Quality Assurance o Aseguramiento de la Calidad de los equipos, por eso tuvo un gran impacto. Ahora, como hay más equipos actualizados para protegerse de esta vulnerabilidad desde el ciberataque de WannaCry, el ámbito de posibles equipos afectados por Petya es menor. Dicho esto, el módulo de ransomware es mucho más agresivo en Petya que en WannaCry. Si el ataque de Petya se hubiera producido hace un mes, habría sido más agresivo que WannaCry, ya que en este caso el ransomware cifra todo el disco duro del equipo, la tabla de particiones entera, con lo que recuperarlo es más complicado. WannaCry no encriptaba todo el disco duro, era más sencillo recuperar archivos.

Hemos estudiado los metadatos de WannaCry y sabemos que los archivos tienen el nombre de un usuario que se hace llamar Messi, que utiliza un Office en coreano, que lo trabajó con Word..."

¿Los ciberataques van a ser una tónica o son casos aislados?

El ransomware funciona desde hace muchos años. Un malware cifra el disco duro y los cibercriminales piden un rescate por él. Lo que ha hecho que este caso llegue a los medios es un fallo de seguridad que permite generar el gusano, viralizarlo por internet. Estos fallos no suceden a menudo pero sí hay algún caso, como pasó hace siete u ocho años con Conficker o a principios de siglo con Blaster, que se viralizan a través de internet. ¿Puede repetirse un caso como WannCry? Sí, y podría ser más virulento.

En un momento de la entrevista me juega una mala pasada la cabeza, y mezclo hackers con ciberdelincuentes. Imperdonable. Chema levanta el dedo y me corrige, sonriendo. "No hablamos de hackers, son ciberdelincuentes". Rectifico y tiramos para adelante. 

¿Cómo hacían los ciberdelincuentes para cobrar los bitcoins?

Los rescates pagados por los afectados por WannaCry eran almacenados en lo que se llaman wallets o carteras, pero ni un solo bitcoin ha sido cogido de esas wallets por el cibercriminal o los cibercriminales que están detrás del ataque. Siguen en los wallets. Lo que hace un cibercriminal con los bitcoins es moverlos a otras carteras y conseguir bienes. Objetos del mundo físico o virtual donde puedes pagar con bitcoins. La realidad es que aunque esas carteras son anónimas y no se sabe quién está detrás de ellas, los especialistas en investigación miran todas las transacciones que se producen en el mundo y las cantidades que se van moviendo, con lo cual no es trivial para el ciberdelincuente retirar ese dinero sin saber por dónde ha entrado. Al final hay un movimiento que aunque es anónimo se puede seguir en la red de blockchain, esto, a veces, intimida a los cibercriminales a la hora de coger el dinero. No es la primera vez que acaban en la cárcel tras tocar los bitcoins, incluso con cadenas perpetuas, en Estados Unidos.

¿Y en el caso de Petya?

En el caso de Petya se han cerrado esas carteras y cancelado el correo electrónico. Los datos de los ordenadores que han sido cifrados no se podrán recuperar. Ya está. Se acabó. Por eso tampoco podrán ganar dinero con ello. Hay muchas teorías detrás de WannaCry, muchas películas de espías. Lo más probable es que detrás haya un cibercriminal al que la cosa se le fue de las manos, porque el código tiene muchos fallos. Lo que se piensa es que el impacto mediático obtenido fue tan grande que dejó las cosas como estaban. Este mismo motivo es el que habría provocado que no haya querido tocar los wallets, las carteras, el dinero. Esta es una de las teorías. Nosotros hemos estudiado los metadatos y sabemos que los archivos tienen el nombre de un usuario que se hace llamar Messi, que utiliza un Office en coreano, que lo trabajó con Word…

¿Qué podía haber hecho mejor Telefónica durante WannaCry?

Los que trabajamos en seguridad sabemos que lo que hacemos es una gestión del riesgo. En función de lo que vaya sucediendo todos los años se va invirtiendo más en prevención, en detección y en respuesta. Yo creo que los mecanismos en Telefónica funcionaron bien durante el ciberataque pero lo cierto es que no se esperaba un gusano tan agresivo como este, que se expandió en cuestión de horas. Apareció en el otro lado del mundo a las siete de la mañana y nosotros nos lo encontramos tres horas después, si bien es verdad que tenemos una red de telecomunicaciones muy grande y en algún momento iba a pasar por nosotros. Estamos satisfechos con cómo funcionaron los sistemas de seguridad. Pero nuestro ejercicio es seguir mejorando todos los mecanismos, los de detección, los de prevención y los de respuesta. Recuerdo cuando hace cinco años fui a reportar al consejo de Telefónica que me preguntaron si con los sistemas establecidos podíamos decirles a nuestros clientes que iban a estar seguros. Yo les dije que no, que lo que les podíamos decir es que iban a estar un poco más seguros. Este es nuestro trabajo. Nosotros no trabajamos para estar seguros al 100% porque es una entelequia a la que no vamos a llegar, trabajamos para estar cada vez más seguros, para hacer que vulnerar sea cada vez más difícil.

Se acomoda en la silla como el que lo hace en el sofá de casa. Mueve las manos con brío, como un director de orquesta, se toma su tiempo en contestar y explica todo detalladamente. Tiene un punto académico muy latente, la clara intención de que todo quede claro.

¿Y tú?

Directivos y personal de la compañía estuvimos trabajando durante todos esos días, analizando la amenaza. En todo momento estuvimos muy preocupados por nuestros clientes, por su servicio, por su conexión a internet, las comunicaciones. Por suerte todo funcionó perfectamente. La próxima vez tenemos que seguir con esta intensidad. A título personal me gustaría haber abarcado más cosas y estar más presente en todas las áreas. No creo que haya nada que reprochar a nadie del equipo por su trabajo en esos días. La noche del ataque del WannaCry estábamos hablando con los investigadores de otras empresas del Ibex 35 y había muchas especulaciones. Se pensaba que podía haber entrado por el correo electrónico, pero al realizar el primer análisis del código vimos que éste se podía leer, que no había lo que se denomina ofuscación… Estábamos buscando el paciente cero, el primer contagio, saber cuál había sido la puerta de entrada a la red. Estábamos especulando si algún servidor se había podido conectar con un usuario y contraseña inseguros… Compartimos mucha información y documentos con directivos y empresas, estamos acostumbrados a eso. A poner esa información sobre la mesa. Cuando empecé a comunicar en mis redes sociales lo que estaba pasando, con un lenguaje técnico, el que siempre he estado acostumbrado a utilizar, me di cuenta de que la audiencia era mucho más general, más abierta... La próxima vez que pase algo así seré mucho más prudente a la hora de elegir los foros en los que comento estos detalles técnicos.

Los creadores de WannaCry no han cobrado ni un solo bitcoin"

¿Cómo ves las redes sociales? ¿Tienen más cosas negativas que positivas?

Para mí es muy positivo. Yo soy muy activo, como he comentado, sobre todo en las comunidades técnicas. Hasta el 30 de junio tengo el reconocimiento de Microsoft, dentro de estos foros, denominado 'Most Valuable Profesional'. Llevo con este reconocimiento 13 años. Las comunidades técnicas han sido de lo más enriquecedor para mi vida profesional, hemos hecho retos hackers, eventos, 'papers'… A pesar de lo negativo que alguna vez puedan tener por aquello de que hay muchos 'haters' o 'trollers' para mí son algo muy positivo. Maravilloso. Tiene mucho que ofrecer en lo personal y en lo profesional. Yo voy a seguir ahí.

¿Se han mejorado procesos desde el ataque?

Nada que no esté fuera de nuestros planes de prevenir, detectar y responder. Lo que hemos visto es que los cibercriminales están aprovechando las ventanas de Quality Assurance o Aseguramiento de la Calidad de los equipos mucho más rápido y lo que tenemos es que acelerar nuestros plazos para llevar a cabo las pruebas de calidad del software. No podemos esperar a que todos los parches que cierran vulnerabilidades sean maravillosos y funcionen a la primera. Debemos estresar los procesos para que cuando aparezca una gusano la ventana de tiempos sea más corta.

¿Qué tiene que tener un directivo?

Cada directivo es distinto. El objetivo es que de una forma u otra mejore la compañía. Desde mi punto de vista la obligación de un directivo es tomar decisiones siempre buscando lo mejor para la empresa, los clientes y los empleados. Unas veces acertará y otra se equivocará, pero su trabajo es tomar decisiones. Cuando acierte con esas decisiones será considerado un buen directivo y cuando se equivoque será considerado un mal directivo.

¿Cómo haces para estar al día en un sector en el que los cibercriminales están en continuo reciclaje?

Yo soy una persona netamente técnica y me he movido siempre por foros técnicos. Escribo en foros, tengo y leo blogs, sigo a otra gente técnica desde mi cuenta de Twitter, estoy en grupos de Telegram y WhatsApp donde se comparte información… Tengo un equipo cercano a mí donde probamos nuevas ideas en un laboratorio de innovación, y unos equipos perfectos para crear y probar tecnología. Intento estar siempre muy cerca de los lugares en los que se crea y habla de tecnología. Estoy todo el día en los foros técnicos, para saber qué es lo que pasa en el mundo desde el punto de vista tecnológico. Soy de la generación 'viejuna', no de la que ve vídeos, sino de la que lee. Me encanta leer blogs y tengo un RSS con más de 200 blogs. Leo un montón de artículos. Me muevo en un mundo en el que mucha gente es como yo, por lo cual el intercambio de información de este tipo es constante. Todos los días leo muchísimo y comparto, y hago mucha investigación.

Trabajamos en patentes de compulsa digital y en implementaciones para elaborar sistemas de voto popular basados en blockchain para que no haya pucherazos"

Telefónica no está bien vista por mucha gente, que así lo expresa en foros y comunidades. ¿Cómo la ves ahora desde dentro?

Mi visión de Telefónica es peculiar por dos cosas que me pasaron en mi vida. Yo empecé a conectarme a internet muy pronto. Las primeras conexiones eran carísimas. Hablo de antes de que llegara Infovía. Las conexiones eran por teléfono y se tarificaban por segundos. Había compañías virtuales con prefijos, teníamos tablas para saber a qué hora era más barato conectarse… Y de repente Julio Linares, presidente entonces, Lanza Infovía y… ¡guau! Ya me podía conectar a internet con tarifa plana. Por eso tenía una visión positiva. Era dejar los prefijos y pasar a tener tarifa plana. Tuve una visión muy positiva de Telefónica. Después, tener ADSL y poder llamar al mismo tiempo que estar conectado a internet, y que esa conexión me la pusiera de nuevo Telefónica, fue también importante para mi percepción sobre ella. Para mí servicios como la televisión o el teléfono eran secundarios, pero la conectividad era fundamental. Hace un tiempo me cambié de casa y va Telefónica y me dice que no hay fibra, y pensé, me cambio de casa otra vez. Al final me fui con otro operador que me prometió fibra. Firmé el contrato e hice todos los trámites y lógicamente no había fibra, porque la fibra la estaba poniendo Telefónica en este país. Me dieron de alta, me cobraron 177 pesetas y tuve que estar dos semanas para darme de baja. Me cabree mucho y publiqué un post en mi blog que todavía se puede leer. ¡Todo por 177 pesetas! Mi visión como cliente no ha sido muy negativa con Telefónica porque mi prioridad era la conectividad y ellos me daban la mejor.

¿Y desde el punto de vista del negocio?

Si me preguntas cómo la veo desde dentro, yo me di cuenta de lo importante que era tener un negocio sostenible cuando hace muchos años monté mi primera empresa, Informática 64. Si no había dinero para pagar las nóminas tenía que sacarlo de mi cuenta corriente. Telefónica es un negocio sostenible y un agente que tiene que ser el motor para la transformación digital de los países en los que opera. En su día conseguimos que, con Infovía, España fuese el país con más usuarios conectados de Europa y ahora somos el país con más fibra del continente. ¿Entiendes lo que te digo? ¡El más conectado de  Europa! Telefónica genera riqueza a la sociedad. Estados Unidos tiene una mejor economía gracias a Google, Apple o Microsoft. Alemania sería peor sin Mercedes, y España sería peor sin Inditex, Santander o Telefónica.

¿Cómo le explicarías lo que es la Cuarta Plataforma de una forma sencilla?

Nosotros por el hecho de tener clientes y servicios generamos una serie de datos. Esos datos son genéricos, desagregados, no tienen nombres y apellidos, y cumplen con la legislación pertinente a este respecto. Esos datos han existido siempre, pero ahora almacenarlos y procesarlos, darles inteligencia para saber qué hacer con ellos, es mucho más económico que hace un tiempo. Mucho más. Esto permite encontrar conocimiento en esos datos. Ahora podemos saber si una persona está nerviosa por la forma en la que maneja el teclado de su ordenador, o si tiene Parkinson por la forma en la que interactúa con un tablet. Eso se lograba con algoritmos muy costosos que solo se podían permitir centros de investigación. Hoy es mucho más barato. Llegados a este punto, decidimos recoger los datos de nuestros clientes, todo ese valor, y organizarlo. Eso es para nosotros la Cuarta Plataforma.

Muchos de esos datos nos dicen cómo funciona la red de antenas, cuál es la calidad del servicio, dónde hay una avería… Si mezclamos esa información con la población de un país se puede hacer una mejor planificación de red, saber cuándo hay que mejorarla, cuándo quitar una antena 2G y poner una 4G… Son datos que nos ayudan a mejorar nuestro negocio y la satisfacción del cliente.

Luego hay otros datos que nosotros pensamos que son del cliente. Los grupos de música que le gustan, las series de televisión que ve… Nosotros podemos utilizar la información del cliente para mejorar servicios, pero él también puede sacar valor de ellos, como por ejemplo mejorar su asignación de tarifa en función del tipo de consumo que haga. Es decir, los datos se pueden utilizar para que Telefónica mejore sus servicios o el cliente los suyos.

Si mañana decidimos que la riqueza es potencia de cómputo o cantidad de electricidad que tienes, datos que tienes acumulados o números de robots que tienes trabajando para ti, lo único que tenemos que hacer es ponernos de acuerdo en cuál es el nuevo sistema de riqueza y cuál es el nuevo modelo de tributación"

¿Y los datos a terceros?

Son los datos que el cliente puede utilizar para mejorar clientes de terceros. Pongamos el ejemplo de una persona que lleva veinte años en Telefónica, ha sido buen cliente y ha pagado religiosamente. A lo mejor un banco, si tiene acceso a esos datos, decide por ello hacerle un descuento en las comisiones. Si no damos al cliente la posibilidad de usar esos datos le estamos quitando un beneficio. Nuestra visión es que los datos son del cliente y puede hacer con ellos lo que quiera. Eso es lo que nosotros llamamos la Cuarta Plataforma.

Y Aura, el servicio que ofrecerá Telefónica, está construida sobre ella…

Eso es. Para nosotros es muy importante. Lo que hace Aura es usar Inteligencia Artificial sobre toda la potencia de la Cuarta Plataforma para dar un mejor servicio al cliente. Permitirá que éste haga todo lo que puede hacer en Telefónica. De hecho el nombre que le puse en un principio era YOT (You On Telefónica, en castellano Tú En Telefónica). Está para servir al cliente. Si alguien, por ejemplo, quiere grabar la película o serie que echarán esa noche, sólo tendrá que decirle al sistema: "Aura, grábame la serie tal de esta noche". Si quieres arreglar el router, te ayudará. Si quieres darte de alta en un servicio, te ayudará. Si quieres darte de baja, te ayudará.

Es muy parecido a Siri, ¿no?

Siri es el servicio que permite hacer lo que quieras pero en tu teléfono. Aura permite hacer todo lo que se quiera en Telefónica.

Y Aura, ¿se usará a través de una aplicación?

Se hará a través de una aplicación, del ordenador, chateando, en Facebook… Estaremos donde esté el cliente. Esa es la idea. El cliente podrá decirle a Siri cuando esté en el metro: “Siri, dile a Aura que me grabe esta noche el último capítulo de Juego de Tronos”. Siri hablará con Aura, le pasará la orden y grabará el capítulo. Aura estará en Siri, en Alexa… Estará donde esté el cliente. Aura es nuestro bebé, e irá creciendo a medida que se ofrezcan más servicios. Ahora hemos decidido ofrecerlo en servicios básicos, como factura, televisión, datos del móvil… La idea es que los clientes se enamoren.

No creo que sea lícito construir una compañía que no trabaje para que la sociedad sea mejor, para que las personas tengan una vida mejor"

¿Cómo se monetizarán Aura y la Cuarta Plataforma?

Para nosotros todo lo que sea dar un mejor servicio tiene un impacto positivo en el ahorro de costes. Si el servicio es aún mejor, se fidelizarán clientes y otros muchos querrán estar con nosotros. Aura y la Cuarta Plataforma serán un canal para todo en Telefónica. Si el cliente quiere comprar un contenido o contratar más datos en el teléfono, lo podrá hacer. Todo lo que sea reducir las barreras en la compra de servicios para hacérselo más fácil tiene un impacto positivo en la cuenta de resultados.

¿Cuál es tu visión sobre blockchain?

Nosotros ya estamos trabajando con blockchain. De hecho hemos elaborado un sistema de consultas popular para un ayuntamiento de Madrid. Es una tecnología disruptiva. Poder verificar, poder garantizar a los ojos de todos la integridad de un determinado dato tiene muchas posibilidades. De hecho ya hemos trabajado en patentes de compulsa digital y en implementaciones para elaborar, como ya he dicho, sistemas de voto popular basados en blockchain para que no haya pucherazos.

Algunos la consideran una tecnología de frikies…

Ya, como en su día los ordenadores…

¿Deberían tributar los robots?

Las sociedades buscan sistemas de tributación para repartir mejor la riqueza. Ahora ese sistema está basado en lo que tienes y en las transacciones comerciales. Si mañana decidimos que la riqueza es potencia de cómputo o cantidad de electricidad que tienes, datos que tienes acumulados o números de robots que tienes trabajando para ti, lo único que tenemos que hacer es ponernos de acuerdo en cuál es el nuevo sistema de riqueza y cuál es el nuevo modelo de tributación. No tengo una respuesta personal, creo que es algo global.

¿Se está siendo justo con Edward Snowden?

Snowden es un hacktivista que tomó una decisión personal con unas consecuencias graves para su persona por sus ideales. Como cuando un activista de Greenpeace decide cometer delitos y subirse encima de un barco o poner una pancarta en el congreso. Son personas que anteponen sus ideales a la ley marcada porque creen que la legislación está cumpliendo la letra pero no el espíritu. Cada uno debe opinar sobre Edward Snowden en función de los ideales que tenga. Creo que los documentos que facilitó fueron muy reveladores para saber lo que estaba pasando en el mundo del ciberespionaje y la ciberguerra y que a muchos les ha servido para tomar más medidas de seguridad.

¿Deben los gobiernos tener acceso a los datos de sus ciudadanos cuando haya una amenaza de tipo terrorista?

Tengo una respuesta clara. No deben ser las organizaciones ni las empresas las que decidan por los ciudadanos. No puede ser que una empresa decida de facto si dar o no dar el dato de alguien. Los ciudadanos deben elegir cuál es el modelo de sociedad que quieren, los gobiernos que quieren votar y la regulación de la ley para aplicar esto o no. En Estados Unidos han aprobado una legislación que permite a los técnicos de los aeropuertos abrir absolutamente todas las maletas y ver lo que hay. Eso es una invasión de la privacidad pero ellos han decidido que debe primar la seguridad a la privacidad. Si esto lo llevas a cualquier sistema digital, a un banco o a un sistema de mensajería, creo que son las personas las que tienen que decidir si se decantan por la privacidad o por la seguridad, y no siempre es un balance fácil.

¿Esto va en línea de la Constitución Digital que quiere Pallete, el presidente de Telefónica?

A lo que yo creo que se refiere Pallete cuando habla de la Constitución Digital, y esto es una especulación mía, es a que las empresas en el mundo digital tienen que tener valores. Las empresas se crean para mejorar las sociedades en las que operan. No creo que sea lícito construir una compañía que no trabaje para que la sociedad sea mejor, para que las personas tengan una vida mejor. No es legítimo que una empresa gane mucho dinero si a a cambio destroza la vida de personas.

¿Cómo te ves en el futuro?

Con la tecnología, y espero que sea en Telefónica durante muchos años. Si no es así estaré ligado al mundo académico, el cual adoro. Investigar, estudiar, escribir libros, estar con gente joven, investigar y probar cosas nuevas. Esto ya lo hacemos en Telefónica a través Talentum, iniciativa que yo mismo lancé. Me veo ahí, en el mundo académico.