Daniel Madero Director regional IberiaMobileIron

Daniel Madero (MobileIron): “El uso de contraseña es un mecanismo antiguo, incómodo y caro de operar”

Daniel Madero

Con la pandemia, millones de trabajadores se encuentran desempeñando sus labores profesionales desde sus propios domicilios. Es por ello que la conexión entre profesional y organización se debe realizar, hoy más que nunca, de una forma segura. Para desempeñar esta labor, MobileIron pretende transformar el dispositivo móvil en un medio de identificación para que el trabajador acceda de forma fácil y segura a la red corporativa. Daniel Madero, director regional Iberia de esta compañía, explica cómo llevan a cabo este planteamiento.

Para empezar, ¿podría explicar cuáles son los principales servicios y soluciones que ofrece MobileIron actualmente?

Desde MobileIron ofrecemos una solución o plataforma para gestionar el puesto de trabajo moderno y securizar el acceso a los servicios de la empresa en un entorno Zero Trust.

Este concepto de Zero Trust significa que no hay perímetro y que el usuario se encuentra en redes públicas y no seguras. Por ello, hay que asumir que hay malos actores en la red, así como permitir llevar el perímetro hacia el propio usuario y tener muchas más fuentes de información para decidir dar acceso a los servicios. Se trata de contar con la máxima contextualidad a la hora de controlar el acceso a los servicios.

MobileIron surgió en 2007, y desde entonces la tecnología ha avanzado a pasos agigantados. Sobre todo en lo referente al smartphone, uno de los focos principales de su compañía. ¿Cómo ha evolucionado MobileIron desde su nacimiento hasta la actualidad?

De hecho, el lanzamiento de la empresa coincidió con la salida del primer iPhone. Los fundadores de MobileIron visionaron que la movilidad del mundo del consumo iba a llegar también al puesto de trabajo. En aquella época, los móviles eran prácticamente teléfonos. Y el único móvil de trabajo que existía era BlackBerry, diseñado para ello.

Pero los fundadores vieron que iban a llegar ordenadores de bolsillo más potentes, ya no solamente el teléfono, sino el smartphone, que es un ordenador de bolsillo con un sistema operativo y con multitud de capacidades. Es más, observaron que estos se iban a desarrollar de forma muy rápida y potente, y que inevitablemente se iban a colar en las empresas. Por tanto, iba a existir una necesidad de disponer de un sistema de gestión sobre ellos. Después llegó Google con Android.

Pero ¿cómo ha evolucionado MobileIron? Empezamos como una solución de gestión de estos dispositivos dentro de la empresa, los cuales han revolucionado la forma de trabajar, creando el puesto de trabajo móvil. Muchas compañías empezaron a mover operativas y aplicaciones a los propios móviles, y tanto MobileIron como todo el mercado hemos evolucionado en esta línea.

Pero al final se han ido estandarizando muchos elementos. Por ejemplo, Apple ha estandarizado los mecanismos de gestión y Google la parte de gestión empresarial en lo que llaman Android Enterprise. Y todo esto se ha extendido también a los PC, lo que recibe el nombre de modelo de gestión moderna. Este modelo, que nació en el móvil, se impone ahora como el futuro modelo de gestión para puesto de trabajo de todos los sistemas operativos.

Nosotros ahora abarcamos no solamente los dispositivos de bolsillo, sino la gestión de todo el puesto de trabajo, ya sea fijo, semifijo, Linux, Windows, Android, etcétera. Es lo que se llama Unified Endpoint Management.

“El móvil es el sueño dorado del ciberdelincuente, sobre todo si es propiedad de una persona relevante”

¿Qué objetivos a corto, medio y largo plazo estipula MobileIron?

A corto a corto plazo destacamos la parte de seguridad y control de acceso, así como la consolidación del Unified Endpoint Management, la gestión unificada para todo tipo de dispositivos.

Lo que está ocurriendo, y es algo que se ha acelerado con la pandemia, sobre todo por el trabajo en remoto, es la aceleración de lo que Gardner llama “everywhere enterprise”. Lo que quieren decir con esta denominación es que la empresa moderna tiene sus empleados, clientes y proveedores en cualquier sitio. La compañía ya no está asociada a una localidad física desde donde gestionar un perímetro de comunicaciones; y eso es lo que se deriva en el Zero Trust. Se trata de una circunstancia en la que se ha de crear un nuevo perímetro en torno a la persona y no en torno a las propias redes, así como dar la seguridad a dicho usuario y controlar su acceso a los servicios corporativos, que ahora están en el cloud.

La mayoría de las organizaciones llevan desde marzo teletrabajando por la pandemia, por lo que debieron en su momento incrementar sus capacidades en materia de ciberseguridad. ¿Cree que la ciberseguridad de las empresas ha mejorado durante todos estos meses?

En algunos casos puede ser así, pero en otros es una asignatura pendiente. La pandemia generó una urgencia de movilizar muchos trabajos a un puesto en remoto. Las organizaciones tuvieron que correr para ver lo que había disponible y realizar, y perdón por la expresión, una serie de apaños.

Ahora hay que consolidar esa nueva arquitectura, la arquitectura Zero Trust. Debemos asegurar que se implementan las capas de seguridad necesarias para poder contar con una seguridad genérica en un entorno remoto generalizado, en un entorno móvil.

En muchos casos, la información corporativa se encuentra en los móviles personales de los trabajadores. ¿Qué propone MobileIron para salvaguardar la ciberseguridad de los smartphone?

Proponemos crear una separación entre las aplicaciones y los datos corporativos y las aplicaciones y los datos de uso particular. En el móvil u ordenador bolsillo se junta la vida personal y la vida laboral, por lo que se debe crear una separación. Y esto se hace a nivel físico. Se realiza un cifrado específico para partir la memoria que lleva las aplicaciones de la empresa. Esta envoltura de código hace que se le añada una capa de gestión para que las aplicaciones de la compañía no puedan perder o copiar información. De esta forma, no se pueden ir a un servicio, por ejemplo, de cloud privada.

Por lo tanto, ese perímetro, esa separación, se realiza en el propio dispositivo, y es más o menos invisible al usuario. Simplemente hay una parte de él que está gestionada por la empresa, aunque en la parte personal es también muy importante mantener la privacidad de la información de los usuarios.

El sistema está diseñado para lograr ambos elementos, tanto la securización de la información de la empresa como la privacidad de la información de la parte privada. Y físicamente, la organización, a través de nuestro software, no tiene acceso a ningún tipo de información particular.

No obstante, estoy hablando del caso más habitual, que es cuando la compañía, en la configuración del dispositivo, permite tener ambos entornos, el laboral y el personal. Pero es cierto que hay empresas que, por sus características, son propiedad de los dispositivos y los configuran para que solamente dispongan de un entorno de trabajo. En este caso es lo mismo, pero no existe ese espacio particular. El usuario no puede descargar aplicaciones públicas o cosas particulares, sino que solamente tiene acceso a las aplicaciones corporativas.

Daniel Madero

Precisamente uno de los objetivos del Centro Criptológico Nacional sigue esta línea, ya que desea que los ayuntamientos cuenten con una correcta ciberseguridad en los móviles.

El móvil no es un teléfono, sino un ordenador de bolsillo. Es un endpoint más que tiene una conexión permanente a los recursos de la empresa y que almacena información corporativa. Por lo tanto, es importante crear esta separación y esta capa de protección a la información, que es de la empresa, además de otra capa de protección de todo el dispositivo contra posibles ciberataques.

Un móvil es como cualquier ordenador: tiene un sistema operativo con millones de líneas de código e, inevitablemente, vulnerabilidades. Y profesionales con recursos pueden explotar esta situación. De hecho, ya hemos visto casos de personas conocidas que han tenido sus móviles hackeados. Por tanto, es importante, además de la gestión y de separar el entorno y la protección, proteger el móvil contra posibles ciberataques de profesionales. Es más, el móvil es el sueño dorado del ciberdelincuente, sobre todo si es propiedad de una persona relevante. Imaginemos la cantidad de información sensible que llevamos en él y combinémoslo con el hecho de que el móvil esté siempre conectado a la red y con acceso a nuestra empresa y que, además, tiene un micrófono, una cámara y una geolocalización…

Por lo tanto, hay que tomar las precauciones correspondientes instalando el software de protección como el que ofrece MobileIron.

Ha mencionado antes el cloud. ¿Desde tu punto de vista, cómo se deben proteger las compañías para salvaguardar correctamente los datos en la nube?

Sobre todo hay que controlar el acceso a los servicios. Y para ello no vale fijarse únicamente en usuario y contraseña. No solo porque el uso de la contraseña sea un mecanismo antiguo, incómodo y caro de operar, ya que la gente las olvida y llama a soporte, sino porque son muy inseguras y fáciles de comprometer por métodos modernos de hackeo y de robar de forma masiva e instantánea.

Por tanto, en un entorno donde tu usuario no está en tu perímetro, sino fuera, aunque presente la contraseña y el usuario correcto, no puedes fiarte de que es quien dice ser. Puede ser alguien que, simplemente, ha robado las credenciales. Lo que es importante, por consiguiente, es parar al intruso antes de entrar. Es decir, evitar que alguien que no debe ser se conecte a tu servicio cloud.

¿Pero cómo haces esto? Federando la identificación al servicio cloud a un mecanismo que tiene integración con el gestor del dispositivo. De esa forma vas a tener certeza, mediante métodos potentes como los certificados digitales que se instalan con los gestores de dispositivos de gestión moderna, de la identidad, postura en tiempo real y de la localización del dispositivo; así como de una serie de fuentes de información más que van a permitir tomar una decisión mucho más elaborada del contexto de esa petición de conexión.

Acaba de mencionar que las contraseñas son un método antiguo, inseguro e incómodo. ¿Cuál es el futuro que augura a este método de protección?

El futuro ya está aquí. Los dispositivos móviles incorporan mecanismos biométricos de reconocimiento facial o de huella digital. Eso permite autentificar el usuario con el dispositivo de una forma mucho más segura que una contraseña. De hecho, ya se está utilizando en las aplicaciones de consumo, ya que para darte de alta en Dropbox, Facebook o Apple debes autentificarte como segundo factor desde el móvil, y te está pidiendo la biométrica.

Lo que propone MobileIron es aprovechar ese método de autentificación entre el usuario y su dispositivo para combinarlo con una gestión moderna que identifique el propio dispositivo de forma segura. Si combinas ambas cosas tienes la certeza de que quien tiene el dispositivo en la mano es realmente su dueño. De esa forma ya tenemos todo perfectamente autentificado de forma mucho más segura que una contraseña.

Es mucho más difícil robarle la huella digital a un millón de personas que las contraseñas a un millón de personas.

Daniel Madero

El 2 de octubre cerró la consulta pública para revisar la llamada Directiva NIS. Desde tu punto de vista, ¿qué mejoras deberían incluirse en dicha revisión?

Lo fundamental es que todo esto está ligado al Esquema Nacional de Seguridad (ENS). Es más, MobileIron es el único sistema de gestión moderna que está certificado en el ESN. Y todas estas iniciativas llevan a extender esto a un nivel europeo y a darle más foco y estructura a lo que son dichos esquemas. Todo lo que sea avanzar en esa línea, modernizarlo y tener en cuenta los móviles es muy positivo.

Estamos notando también que las entidades, sobre todo públicas, tienen muchísimo interés en implementar ese tipo de herramientas, especialmente la nuestra, que está certificada en el ENS, para poder dar esa capa de seguridad a dispositivos móviles que se utilizan en el trabajo, los cuales quizás no han tenido ese tipo de protección hasta ahora.

En julio también se constituyó el Foro Nacional de Ciberseguridad, con entidades tanto públicas como privadas. ¿Cuál es su valoración sobre el Foro y qué cuestiones debería abordar para mejorar la ciberseguridad de las organizaciones?

Todo lo que significa consensuar y enfocarse en la ciberseguridad, también en la parte móvil y de servicios cloud o de múltiples cloud, es muy positivo. Al final, lo que se está evitando es que por olvido o por falta de conocimiento muchas entidades estén expuestas innecesariamente.

Como todos sabemos, la gran mayoría ciberataques no son extremadamente sofisticados; se aprovechan de negligencias y de elementos básicos que no se han implementado. Por ello, consensuar es muy importante. Y todas estas iniciativas son muy valiosas para impulsar todo esto hacia adelante.

¿Cuáles diría que son los principales retos en ciberseguridad en los próximos años?

Desde luego, el tema del Zero Trust. La adaptación a un entorno sin perímetro es lo más urgente ahora por la velocidad en la que se está desarrollando la transformación hacia movilidad, junto con los servicios cloud.

Aunque estos servicios no son únicamente una oferta económica. Son una oferta de agilidad y de innovación. Y eso está haciendo que se acelere esa transformación. En la mayoría de los casos va a existir un mundo híbrido con aplicaciones on premise y aplicaciones en cloud con colaboradores on premise, en remoto o móviles. Y, al final, se debe hacer que esto sea seguro extremo a extremo en este nuevo entorno que incluye la parte de Zero Trust.

Después de que la industria haya invertido tanto esfuerzo y tiempo a securizar ese perímetro, ahora hay que transformar la arquitectura en más sencilla, pero teniendo en cuenta estos componentes tan importantes como son la gestión, la protección del endpoint y el control contextual seguro de acceso remoto en el entorno Zero Trust.

Finalmente, las capas de automatización e inteligencia artificial que van encima de todo esto también van a ser muy importantes.