Hornetsecurity comenzó su actividad en 2007 como proveedor de soluciones de seguridad para el correo electrónico, pero hoy en día ofrece también otros servicios en la nube. ¿Cómo ha evolucionado la compañía hasta este momento y cómo definiría la situación actual?
Hornetsecurity nació a la sombra de una necesidad básica del mercado. En aquella época, todas las soluciones se basaban o bien en algo que estaba instalado en el PC del usuario o bien en servidores ubicados en la propia compañía. El fundador de Hornetsecurity, Daniel Hoffman, decidió entonces que era necesario proveer una solución dedicada a la protección del correo electrónico, y el resultado fue una solución en la nube porque eso tiene bastantes ventajas. La principal es que, cuando algo necesita actualizaciones, desde el momento en que se actualiza está en phase out, pues en ese mismo instante puede haber surgido una nueva amenaza. La nube, sin embargo, resuelve este problema. Nuestra solución en la nube está constantemente actualizada porque cualquier detección que se produzca en cualquier lugar del mundo se corrige e imbrica automáticamente.
Desde aquel primer lanzamiento, lo que intentamos es poner tecnología alrededor del usuario para que esté constantemente protegido. Sin embargo, aun así nos dimos cuenta de que por mucho que protejas al usuario este tiene que estar formado, porque siempre se puede encontrar una brecha. De ahí que el siguiente paso de la compañía sea tras rodearle de tecnología sea conocer el entorno de protección del usuario. Para ello, hacemos campañas de phishing con el objetivo de comprobar cuál es su nivel de concienciación y, a partir de ahí, perfilar a través de sus comportamientos una formación ad hoc.
Aun así, puede darse una brecha de seguridad y lo que querrá la empresa es recuperar el estadio que tenía antes del incidente. En este caso, el backup es fundamental. De ahí que Hornetsecurity tomara como decisión estratégica la adquisición de una empresa cuyas soluciones imbricamos dentro las nuestras. Dicha solución tiene unos elementos diferenciales muy claros. En primer lugar, está fuera del entorno del proveedor de soluciones, lo cual nos permite tener una aproximación muy sólida y no dependemos de la política de precios que tenga ese proveedor externo, sino de la nuestra propia. Y en segundo lugar, al tener nuestros propios data centers, controlamos que el dato cumpla con el RGPD.
Una vez ya tenemos controlada la empresa y rodeada de tecnología, de formación y de recuperación, también tenemos que ver cómo tratamos en el dato en el día a día, porque a las empresas se les olvida seguir la traza de los archivos y la información que comparten. Para este caso hemos desarrollado otro producto, llamado 365 Permission Manager, que audita la situación de todo el árbol de datos que haya en los sites de Microsoft SharePoint. Ante un ataque, puedes incluso resetear la solución a las políticas base para cortar cualquier tipo de pérdida de datos no deseada. Al fin y al cabo, se trata de una línea de trabajo en la cual el dato está presente, filtrado y almacenado en un entorno recuperable.
Ustedes aseguran que las soluciones de Hornetsecurity se integran perfectamente con otras para el endpoint, como EDR, XDR, SIEM… ¿De qué manera consiguen que sus soluciones funcionen con el resto?
La cuestión es que Hornetsecurity somos complementarios. Nuestra solución aporta una capa de seguridad hasta que entras en la empresa, mientras que una solución EDR normalmente necesita tener un agente instalado en los PC. Nosotros lo que hacemos es controlar las puertas de entrada y salida del usuario en la parte de gestión del correo electrónico. Por ejemplo, en el caso de aquellos usuarios que tenga Microsoft 365, nosotros hablamos directamente con el Tenant de Microsoft, pero no consumimos recursos de la infraestructura IT de la empresa, al contrario que en el caso de un EDR. Dicho esto, hay que decir que el EDR es importante y complementario a nosotros.
En el caso de un sistema de respuesta, como el XDR, o gestor de alarmas, como puede ser un SIEM, nosotros lo que hacemos es enviar métricas. El SIEM, en pocas palabras, lo que hace es controlar la actividad cloud de las aplicaciones propias de la compañía, el network, el acceso y el comportamiento relacionado con el correo electrónico y con otras herramientas para el usuario. Todo eso lo colige en un entorno que prioriza las alarmas, mientras que nosotros lo que hacemos es enviar las métricas que escoja la empresa para que pueda tener una visión sobre las alarmas que nos llegan. Para cada empresa las métricas son diferentes; por ejemplo, yo quiero saber el comportamiento de X, Y, Z, nada más… y eso es lo que voy a tener en mi SIEM. Nosotros nos integramos con el 99,9 por ciento de los SIEM del mercado, y es algo que se aprecia mucho porque no todas las soluciones lo hacen.
“La ciberseguridad es muy democrática, nos incumbe a todos y los grandes problemas son iguales para todos”
¿Cuáles diría que son las principales necesidades o carencias de los usuarios en relación con la seguridad del correo electrónico?
Déjeme que amplíe la pregunta no solo al correo electrónico, sino a todo el ámbito de la ciberseguridad, tal y como nosotros la entendemos. Las grandes corporaciones tienen personal de IT y de ciberseguridad dedicado, mientras que las medianas empresas no tanto y las pequeñas no lo tiene en absoluto. España es un país de pequeñas y medianas empresas donde lo que hay es mucha curiosidad; todavía existen empresas que dicen: «yo tengo que tener algo para protegerme, pero no sé muy bien qué». Nos encontramos algunos casos en los que nos llaman para buscar soluciones relacionadas con el correo y, en realidad, lo que más les interesa es backup o formación. Por tanto, hay una necesidad de conocer las herramientas que existen en el mercado para ayudar a conseguir la continuidad del negocio en el caso de todas las empresas.
Yo diría que el mayor driver de las empresas es la curiosidad, las ganas de conocer soluciones, y luego saber cómo implementarlas. No obstante, a la vez ponen como requisito que no afecte a su negocio; es decir, yo tengo una forma de hacer mi negocio, mi core business y quiero saber cómo puede contaminar esos procesos internos cualquier cosa que ponga alrededor. Para eso, nosotros tenemos una solución en la nube, tremendamente poco intrusiva en los procesos base del cliente.
La clave está en saber cómo resolver un problema. El hecho de que Hornetsecurity tenga infraestructura en España permite que nuestros clientes tengan acceso a soporte técnico en castellano y no se imagina el elemento diferencial que esto supone. Damos soporte al cliente desde aquí y sabemos cómo ayudarle.
Otro elemento diferenciador de Hornetsecurity, por lo crítico de algunos de nuestros clientes, es que fuimos de las primeras empresas que hicimos el Esquema Nacional de Seguridad. Para la Administración Pública este es un factor diferencial, pero también para la empresa porque, al fin de al cabo, es un marchamo de calidad.
La visión sobre la seguridad de la nube ha cambiado mucho en todos estos años. Hace no mucho tiempo, cuando empezaron a salir soluciones, no había una gran confianza en su seguridad; sin embargo, hoy parece que la nube es la solución a todos los problemas. ¿Cuál es su visión sobre la capacidad que proporcionan los servicios en la nube?
No existe nada cien por cien bueno ni cien por cien malo. Lo que ha permitido la nube ha sido flexibilizar los recursos que tienen que dedicar las empresas. Por lo tanto, no tienes que comprar un hardware determinado para tener en tu centro de datos, puedes comprar en modo servicio a través de la nube. Eso es fundamentalmente lo que ha traído de bueno.
Pero también tiene sus contraindicaciones. Por ejemplo, la salida de la nube es complicada. No es sencillo cambiar de proveedor y eso supone unas barreras muy complicadas para los responsables de las grandes compañías.
Hornetsecurity damos servicio, pero no nos calificaría como un proveedor de nube. Lo nuestro es una licencia que te da derecho de uso a soluciones de email, backup, etc., de una manera flexible y totalmente actualizada que protege con los máximos niveles de exigencia posible.
¿Cuáles cree que son los desafíos más críticos a los que se enfrentan las organizaciones actualmente? Y tal vez en este caso también conviene diferenciar entre las pymes y las grandes empresas.
La ciberseguridad es muy democrática, nos incumbe a todos y los grandes problemas son iguales para todos. Por lo tanto, tenemos que tener unos grandes pilares basados en la prevención e intentar rodear de tecnología al usuario para que sea más complicado acceder a sus sistemas.
Los ‘malos’ han pasado de la utilización de ataques de fuerza bruta para penetrar en una compañía a la utilización de credenciales existentes conseguidas a través del engaño hacia los usuarios. El correo electrónico representa más del 90 por ciento de los accesos a las compañías, lo cual no significa que el email sea algo malo, sino que tiene al ser humano detrás. Es aquí donde los proveedores de servicios a través de la nube tenemos un tiempo de reacción mucho menor. En casos como el mencionado, el ataque se va a producir, y si te toca, tienes que estar preparado para recuperar tus datos y poder seguir haciendo tu trabajo en poco tiempo. Nosotros hacemos backups diarios múltiples a cada usuario, con lo cual pueden recuperar su información de hace, aproximadamente, una hora.
Además, el backup te permite mucha capilaridad, lo cual es un elemento diferencial de Hornetsecurity. Te permite un control de versiones, ver el fichero o el email o ir hacia atrás y bajar la información de manera capilar. Además nosotros solo cobramos la licencia del usuario, no como otras modalidades de licenciamiento en las cuales pagas por la cantidad de datos descargados. Hay muchísimas diferencias y detalles que hay que tener en cuenta cuando haces una inversión de este tipo.
“La pregunta que habrá que hacerse es cómo reaccionamos nosotros a esos cambios de velocidades, porque van a demandar mucho de nuestra parte”
¿Qué tendencias están observando en cuanto a ataques donde el correo electrónico es el vector de ataque?
En general, vemos todas las tendencias que puede haber. El cibercrimen se ha industrializado, hay empresas que generan código, individuos que se dedican penetrar en las empresas… Además unos cobras en modo servicio y otros lo hacen de manera más especializada. No hay una tendencia en particular porque todos los ‘malos’ siguen un flujo de ataque bastante identificable. El principal driver que tienen es el económico; es decir, voy a intentar hacer el máximo daño posible de varias formas para luego vender la información sustraída en la Dark Web. O hacen el máximo daño posible parando una empresa, de manera que el lucro cesante hace atractivo pagar el rescate para que esta pueda reanudar la actividad.
Como decía antes, hubo un tiempo en el que la fórmula más sencilla de entrar en la empresa eran los ataques de fuerza bruta, pero en estos momentos lo es la utilización de credenciales a través del phishing. Cuando la empresa sufre un ataque de ransomware, es muy probable que el malware lleve meses dentro de la compañía con acceso a toda la documentación, pero el día que los ‘malos’ han conseguido todo lo que necesitaban, hacen ‘clic’ y encriptan los sistemas. Frente a estos casos la recuperación es fundamental, pero también lo es la prevención.
También está el tema reputacional, pero cuando ya han robado la información de una empresa no podemos ayudarle a saber lo que hacen con ella posteriormente. Una vez que se han llevado los datos, el uso que hagan de ellos es incontrolable y un grandísimo dolor de cabeza para la empresa.
¿Qué visión tienen del futuro de la ciberseguridad ahora que está eclosionando la inteligencia artificial y dentro de nada estaremos hablando de otras tecnologías avanzadas como la computación cuántica?
Las nuevas tecnologías que menciona no son más que herramientas que se pueden utilizar para bien y para mal. Nosotros, por ejemplo, utilizamos la inteligencia artificial para identificar parámetros cuando se produce un fraude del CEO. Identificamos los parámetros de redacción del usuario para comprobar si un email que llega a su nombre solicitando una transferencia urgente es realmente suyo o de alguien que le quiere suplantar.
Algo que podemos aplicar a todas las novedades que vayan saliendo es que no podemos poner barreras al desarrollo tecnológico y tenemos que verlas como nuevas herramientas. No podemos negar su existencia, sino ver cómo podemos mejorar nosotros mismos a través de ellas. Para mí, la inteligencia artificial es un grandísimo acelerador de todo para bien y para mal, y la computación cuántica lo va a ser todavía más, porque vamos a aplicar la inteligencia artificial sobre ella. La pregunta que habrá que hacerse es cómo reaccionamos nosotros a esos cambios de velocidades, porque van a demandar mucho de nuestra parte.
En Hornetsecurity estamos utilizándolo esta tecnología en la parte que nos toca para la detección temprana e identificar los peligros mucho antes, pero, evidentemente, los malos también la utilizan para sus propósitos. Por tanto, es un balance, es algo que se va a desarrollar con más o menos velocidad y que se irá compensando mutuamente.
