Home Entrevistas Ricardo Villadiego, CEO de LUMU Technologies: “Un cibercriminal tarda 15 horas en...

Ricardo Villadiego, CEO de LUMU Technologies: “Un cibercriminal tarda 15 horas en penetrar una red”

Por Jorge González.

(ESPECIAL). El fundador y CEO de LUMU Technologies, el colombiano Ricardo Villadiego, dijo a Ciberseguridad LATAM que en promedio “un cibercriminal, tarda 15 horas en penetrar una red”, y una empresa aproximadamente demora 191 días en detectar ese compromiso.

“Claramente entre más tiempo se encuentre una compañía comprometida, mayores son las pérdidas y el tiempo que tendrá que invertir en recuperarse del ataque. En promedio, a una organización le cuesta USD $3.9 millones recuperarse de un ataque cibernético”, destacó el experto.

En 2003, Villadiego 2003 creó Easy Solutions, empresa de prevención del fraude electrónico que en 2017 pasó a formar parte de Cyxtera Technologies, a través de un proceso de adquisición en una transacción valuada en USD $2.8b.

En Cyxtera, Ricardo se desempeñó como Vicepresidente ejecutivo y Gerente General de Anti-Fraude y Ciberseguridad, desde febrero de 2018 hasta abril de este año, fecha en que comenzó a concentrarse en el desarrollo de LUMU Technologies.

¿LUMU tiene oficinas en Buenos Aires?

Actualmente LUMU Technologies cuenta con oficinas en las ciudades de Miami y Bogotá. Sin embargo Buenos Aires es definitivamente un destino que estaremos cubriendo en la siguiente fase de expansión de la compañía.

“95% de los ataques llegan a través de correo electrónico a los usuarios de una organización”.

¿Qué opina de Argentina como país?

Argentina es sinónimo de talento en América Latina, especialmente cuando hablamos de innovación y desarrollo de software. Muestra de ello es que un gran número Unicornios en América Latina se concentran en Argentina. Es un país que cuestiona las tecnologías y logran adicionar mucho valor en la relación cliente-fabricante, lo cual me parece maravilloso.

¿Cómo se previene un incidente electrónico y cuánto pierden las empresas si caen víctima de un ataque?

Uno de los problemas grandes que vive la industria de ciberseguridad es la falta de medición continua acerca del estado de compromiso de una organización. En promedio a un cibercriminal le tarda 15 horas penetrar una red, y en promedio a una organización le tarda 191 días detectar ese compromiso. Esa disparidad de número refleja por qué el tema de ciberseguridad está como está.

Para prevenir esta problemática dominante, LUMU implementa el concepto de evaluación de compromiso continuo, para medir en tiempo real el estado de compromiso.

Claramente entre más tiempo se encuentre una compañía comprometida, mayores son las pérdidas y el tiempo que tendrá que invertir en recuperarse del ataque. En promedio a un organización le cuesta USD $3.9 millones recuperarse de un ataque cibernético.

La industria de la ciberseguridad tiene actualmente una demanda insatisfecha de recursos. ¿Qué propuesta tiene para poder cubrir esos puestos y la necesidad actual y futura del mercado?

La demanda insatisfecha de recursos es un problema mundial, sin embargo también tiene que ver con el enfoque de protección actual. Cuando para cada amenaza necesito un nuevo producto, rápidamente las arquitecturas de defensa se vuelven extremadamente complejas, y gestionarlas más aún. En consecuencia se necesitan más recursos para operarlas.

Todo lo anterior sin tener aún una respuesta a si mi compañía ya está o no comprometida. LUMU nace con el propósito de medir continuamente el nivel de compromiso de una organización, iluminar cuáles son las amenazas y los adversarios que están atacando esa organización para retroalimentar a la infraestructura de ciberdefensa y afinarla de manera que pueda protegerse mejor.

Nos llama la atención la receptividad que el mercado ha tenido con el enfoque que LUMU trae a la industria, y creo que no es otra cosa que la frustración de los gerentes de ciberseguridad invirtiendo dinero en ciber defensa sin poder responder claramente a la pregunta de si están o no comprometidos. Uno le pregunta a los directivos si su organización está o no comprometida, y en la mayoría de los casos la respuesta es vaga, donde no hay certeza al respecto, lo que indica que el enfoque que propone LUMU es algo que la industria necesita.

Este enfoque busca usar mejor los recursos humanos y financieros al permitirle a una organización enfocarse en donde realmente están los problemas y cómo pueden ser solucionados, en lugar de seguir adicionando capas de seguridad que hacen que las arquitecturas de defensa se hagan aún más complejas. Hoy cualquier organización puede ir a www.lumu.io, abrir una cuenta gratis y tener visibilidad de si su organización se está comunicando con adversarios.

La Capa 8 (el usuario final) es el eslabón más delgado en lo que a riesgos significa. ¿Qué estrategias recomienda para implementar dentro de las corporaciones para minimizar el riesgo y qué se puede hacer desde su compañía para darles más herramientas a los ciudadanos en lo que a riesgos digitales se refiere?

Efectivamente, 95% de los ataques llegan a través de correo electrónico a los usuarios de una organización. Sin embargo, esa realidad pareciera no afectar en nada la forma como probamos la seguridad de nuestra organización y esa es una de las grandes razones por las cuales existe una falsa sensación de seguridad predominante en la industria.

“Argentina es sinónimo de talento en América Latina”.

La mayoría de las técnicas de pruebas de seguridad enfocan sus esfuerzos en activos de alto valor, servidores críticos, dejando de lado a los usuarios finales. LUMU a través del concepto “Piense que está comprometido y pruebe lo contrario” permite evaluar el estado de compromiso global de una organización para identificar el estado real de compromiso, tanto en usuarios finales como en activos de alto valor.



Villadiego se refiere a la posibilidad de hackear un cajero electrónico

¿Existe la posibilidad de hackear un cajero electrónico?

Absolutamente. De hecho, este es un tema que me recuerda a mis inicios en ciberseguridad. El proyecto que me llevó a desarrollar mi pasión por la ciberseguridad fue justamente el de diseñar una pieza de software para que los cajeros electrónicos se conectaran a redes TCP/IP. Allí pude identificar las vulnerabilidades del protocolo y cómo se podía, por ejemplo, suplantar Cajeros en una red, o enviarle instrucciones a un Cajero electrónico para que dispensara efectivo. Técnicas que han sido implementadas por algunos de los ataques más famosos afectando a la industria bancaria.

¿Cómo observa el estado de los estándares de seguridad informática de Colombia, respecto de los países más desarrollados del mundo?

En general en Colombia, como en la mayoría de países en América Latina, el nivel de concientización ha crecido significativamente. Aún así, en la región las brechas de alto perfil han crecido en los últimos años, y en 2018 lo vivimos con casos significativos en México y Chile.

En LUMU creemos firmemente que este problema ocurre debido a la falta de tecnologías que midan el objetivo final de una arquitectura de seguridad, el cual es evitar el compromiso de una organización. LUMU nace explícitamente para implementar este proceso de medición continua de compromiso para implementar una ruta de retroalimentación que le permita a las organizaciones afinar las capas de defensa que han implementado en los últimos 25 años, en busca de mayor resistencia a ataques cibernéticos.

¿De qué forma se protegen las actividades en línea, y con qué tipo de herramientas cuenta la sociedad colombiana para protegerse de los peligros en internet?

Este es un tema controversial en Colombia y en el mundo. La mejor herramienta que tienen los ciudadanos para protegerse es estar alerta. Lo cual es extremadamente difícil cuando estás a un click de estar comprometido. Es difícil trasladar la percepción de riesgo del mundo físico al mundo virtual; en el mundo físico cuando uno ve un lugar oscuro, todos los sentidos nos alertan de peligro hasta que eventualmente decidimos buscar una ruta alternativa. Sin embargo, el desarrollo del cerebro humano en ambientes virtuales lleva menos de 50 años versus 315.000 años de desarrollo del homo-sapiens en ambientes puramente físicos. De allí nuestra limitación para identificar riesgos en ambientes cibernéticos.

En cuanto a herramientas, aunque cada vez existen más, estas son algunas:

  • CAI Virtual: https://caivirtual.policia.gov.co/
  • colCERT: http://www.colcert.gov.co/
  • Fiscalía:https://adenunciar.policia.gov.co/adenunciar/Login.aspx?ReturnUrl=%2fadenunciar%2ffrm_denuncia_di.aspx

El problema radica en el entendimiento que tienen estas organizaciones de las modalidades de ataque y las capacidades de reacción de las mismas.

¿Existe alguna ley que penalice la identidad robada?

En Colombia, la normatividad sobre delitos informáticos incluye el articulo 269F sobre la violación de información personal: https://www.policia.gov.co/denuncia-virtual/normatividad-delitos-informaticos

¿Cuál es la más segura? ¿La nube pública o la privada?

Esta discusión me recuerda a 10 o 15 años, cuando la pregunta era: ¿qué es más seguro, Windows o Linux? Yo creo que la seguridad inherente de un sistema versus otro depende del caso de uso que esté resolviendo y los requerimientos y prácticas de seguridad que se implemente en cada caso.

Existen grandes brechas de seguridad tanto en nubes públicas como en nubes privadas. Con lo cual no existe evidencia que permita concluir que inherentemente una es más segura que la otra. Lo que sí existe es evidencia de malas prácticas de seguridad, que resultaron en una brecha en nubes públicas y similarmente en nubes privadas.

Nuestra recomendación en este y todos los casos, sigue siendo la misma. Medir continuamente el estado de compromiso permite aumentar la resistencia a ataques independientemente del sistema que esté detrás.

Usted nació en el barrio 7 de agosto, de Cartagena, considerado uno de los más humildes de esa ciudad. ¿Qué recuerdos tiene de su infancia, y cómo llegó a ser lo que es hoy?

EL 7, como le decimos al barrio, forjó gran parte de lo que es mi personalidad el día de hoy, esas ganas de soñar y construir algo grande, obviamente alimentado con la guía y el consejo de mis padres y la firme creencia que con estudio y trabajo puedes lograr lo que quieras. Yo creo que del 7 me llevé la resiliencia que existe dentro de este emprendedor, la recursividad para buscar una solución en medio de las dificultades y las ganas de apoyar y generar impacto en el país, y eso se manifiesta en mí a través de la capacidad de identificar problemas que al resolverlos generan oportunidades de negocio en mercados gigantes.

Yo creo que siempre tuve una idea de negocios, desde que recuerdo, ya sea apoyando a mi madre en una iniciativa de venta de cubetas y bolis (paletas que vienen en bolsas, muy comunes en los barrios populares), o cobrando las entradas en el estadio de beisbol o creando una pickup (equipo de sonido gigante) y cámara de humo para alquilarla en minitecas, que eran discotecas que se realizaban en casas que se pusieron muy de moda en los años 90’. Sin embargo, esto se consolidó cuando llegué a la universidad y empezó a nacer en mí la idea de construir una compañía global desde Colombia, la Universidad Distrital Francisco José de Caldas en Bogotá me dio las bases de conocimiento, y las diferentes compañías en que estuve, como Unisys Corporation e Internet Security System, la experiencia real de construir una empresa y los diferentes retos que esto lleva.


Ping-pong CSL

¿Una ciudad preferida? Mi trabajo me ha llevado a conocer muchos lugares en el mundo, pero si tengo que elegir una ciudad, esa siempre será Cartagena. Yo creo que la mejor fiesta de fin de año se vive en Cartagena. ¡Recomendado!

¿Una ciudad del mundo que le guste para visitar? París. Siempre que tengo la oportunidad de pasar por París trato de hacerlo, sin ningún plan en especial, solo caminar por la ciudad me parece mágico.

Vacaciones soñadas. ¿Dónde? Marruecos, hay de todo para hacer.

¿Una comida? Pescado de mar en todas sus formas.

¿Un club de fútbol? Junior de Barranquilla.

¿Su pasatiempo favorito? Leer. Libros físicos, digitales, revistas técnicas, artículos técnicos. Leer.

¿Cómo es un día en la vida de Ricardo Villadiego? Trato de empezar temprano, 6:00 a.m. típicamente. Hago ejercicio si es día de ejercicio (4 veces por semana), 5 minutos para revisar la agenda y planificar el día que generalmente involucra reuniones con el equipo de trabajo, reuniones o llamadas con clientes, reuniones o llamadas con socios de negocio, inversionistas, analistas y/o periodistas. Entre pasear a paquita y dedicar tiempo a la familia, y uno que otro tema, van llegando las 10:00 p.m. y generalmente ahí termina mi día. Aunque reconozco que algunos días se pueden ir hasta la 1:00 a.m. Sin embargo, siempre vuelvo a iniciar a las 6:00 a.m.