Zaragoza.- Cristina es una mujer comprometida con la seguridad. Con aquella que tiene que ver con lo binario. De hecho, lo está tanto, que hace algunos años detectó lagunas en los procesos de programación de aplicaciones, que las hacía altamente vulnerables a un hackeo. Así, ejerciendo de visionaria, decidió crear un nuevo método de prevención de riesgos en el software, desde la arquitectura de los códigos. Un novedoso sistema que promueve su empresa Continuum Security desde el Parque Tecnológico Walqa (Huesca), y que ya emplean empresas de todo el mundo. Aunque Cristina no solo está comprometida con la ciberseguridad; lo está también con la igualdad. Una igualdad que para ella ha de partir de la decodificación de ciertas anomalías sociales, y de las voces unísonas de una nueva generación de niñas críticas y desobedientes que cambiará el mundo.
Pregunta.- Cuéntenos cómo surgió Continuum Security, ¿En qué parcelas concretas trabajan?
Respuesta.- Todo surgió en la época en que trabajaba en Inglaterra para una consultoría de ciberseguriad del sector de la banca. Me encontraba gestionando proyectos y un día caí en que había muy poca comunicación entre programadores y el departamento de ciberseguridad. Los de seguridad han de chequear el código de programación para evitar posibles hackeos, pero lo hacen una vez están programados la aplicación o el software. Entonces, se planteó la idea de que era más productivo que los programadores conocieran los requisitos de seguridad antes de iniciar la programación, en lugar de chequearla una vez ya programada.
Probamos con un proyecto antes de que los programadores empezaran a escribir una línea de código. Junté a programadores y analistas en la misma sala para que ambas partes, a modo brainstroming, fueran desarrollando cómo iban a hacer su trabajo, mientras los de seguridad planteaban los parámetros de seguridad a tener en cuenta en cada paso.
P.- Porque un fallo en la planificación encierra riesgos…
R.- La cuestión es que tendemos a creer que los programas o aplicaciones que empleamos cuentan con la debida seguridad. Damos por hecho que son seguros, cuando, muchas veces, no lo son. Yo recuerdo el mensaje de washatp del año pasado en el que avisaba de que se activaba dese ese momento el encriptado de datos “end to end”. Eso quería decir que, hasta entonces, no había cifrado de datos. Y claro, si no hay información, la gente no es consciente y se desentiende.
P.- El caso generó un gran revuelo mediático, al igual que al saltar a la opinión pública que Facebook filtraba datos privados a empresas
R.- Al salir a la luz este tipo de cuestiones, se han gestado movimientos ciudadanos que han obligado a reforzar la ciberseguridad. Digamos que la lucha salió del pueblo, del usuario, forzándoles de alguna manera a los operadores de las aplicaciones a que garantizaran protección de datos privados. La comunidad de seguridad también se unió a esto.
P.-Y ustedes se centraron en prácticamente el primer eslabón programático
R.- Nosotros planteamos la prevención de riesgos en software para evitar lo de “reaccionar después de un susto”. Esto es, poner medidas proactivas de seguridad desde la arquitectura del proyecto, desde la celebración de esa reunión que mencionábamos entre programadores y analistas, antes de desarrollar la app, porque, si no, es como empezar la casa por el tejado. El problema es que por cada 100 programadores, hay tan solo un analista de seguridad, lo que dificulta esa labor de comunicación. Además, existe tanta presión para salir a mercado, que muchas aplicaciones se terminan emitiendo sin el candado de seguridad.
P.- Y si pasa algo, ya se verá, ¿no?
R.- Es la mentalidad. Por ello, desde Continuum Security proponemos un mecanismo que llamamos “modelado de amenaza”. Puede hacerse en la pizarra de la sala donde se está celebrando ese encuentro programador-analista, y el objetivo es ir detectando conjuntamente posibles riesgos. Se trata de replicar el sistema “Seguridad por diseño” del sector industrial, que tiene muy interiorizado que todos los productos han de salir a mercado con sus garantías de calidad desde el primer diseño del mismo, elaborando previamente estudios, por ejemplo, sobre posibles seísmos, ajustando consecuentemente las características del edificio.
Queremos que la aplicación se enmarque en ese concepto también. Eso sí, hay que tener en cuenta que este modelo funciona en empresas que desarrollan pocas aplicaciones, porque hay clientes como AUDI que, anualmente, crean 4.000 apps. En ese caso, resulta inescalable celebrar 4.000 reuniones, una por aplicación.
P.- ¿Cuál es entonces la solución?
R.- Propusimos en su día crear una plataforma generadora de un autoservicio a los programadores sobre esos posibles riesgos. Empezó todo con una hoja de Excell, para que los programadores pusieran en sus celdas los parámetros y, a partir de ahí, esa hoja calcula el riesgo. Al final ganas competitividad y calidad, ahorrando costes y tiempo (como devoluciones a laboratorio para corregir la arquitectura). El dato que tenemos es que el 50% de esas debilidades en el código proviene del diseño. Si tienes en cuenta esa seguridad desde un principio, ahorras mucho. Además, se consigue también que las empresas cumplan más con los estándares normativos.
P.- Parece que en la era del bit las vulnerabilidades son proporcionales al avance tecnológico…
R.- Es que ahora absolutamente todo funciona por software. Pensemos que antes cuando se quería robar un banco, se hacía con una ganzúa. Ahora, tan solo es necesario un ordenador. En este sentido, resulta algo cómico que los bancos, por ejemplo, cuenten con un vigilante de seguridad en la puerta y no tengan un sistema de seguridad en sus ordenadores.
P.- Y su aplicación rellena ese vacío….
R.- Por ahora, muchas empresas multinacionales están implementando nuestra plataforma, que parte de un simple cuestionario a la empresa. De hecho, acabamos de terminar una Demo con una empresa japonesa. Podemos decir que en Europa solo existe nuestro programa. Tan solo tenemos competencia en EE.UU y Canadá
P.- Un programa que hoy tiene su sede en uno de los parques tecnológicos más reconocidos de la Comunidad: Walqa. ¿Cómo llegaron a la capital oscense?
R.- Fíjate, mis padres son aragoneses, pero con el boom del textil marcharon a Barcelona. Allí nacimos mis tres hermanos y yo. Estuve un tiempo estudiando fuera de España hasta que volví a acompañar a mis padres. Fue entonces cuando decidimos trasladarnos a una ciudad tan cómoda como Huesca y desde casa -en remoto- fue creciendo este proyecto. Afortunadamente, crecimos tanto que tuvimos que mudarnos al Parque Tecnológico de Walqa. Ahora podemos decir con orgullo que en un año hemos pasado de seis a 23 empleados.
P.- ¿Y cómo va esa captación de profesionales del sector?
R.- La verdad es que hacen falta analistas de seguridad. No se encuentran tan fácilmente, pero mi objetivo es, desde luego, cazar talento local.
P.- ¿Algo que decir acerca del talento femenino científico?
R.- Hay bastante que hablar sobre el tema. Siempre ha habido mujeres en el mundo de la ciencia o la tecnología, pero generalmente las han callado. De hecho, eran ellas quienes trabajaban en el laboratorio, pero era el doctor quien se llevaba el título. Esto es, sin duda, un fallo de la historia. En realidad, un fallo que sigue vigente. Lo mismo ocurre con el acceso a la universidad. Pudimos entrar en 1890, que es, en pocas palabras, antes de ayer. Precisamente, hace poco inauguramos el primer edificio en Walqa con nombre de mujer, correspondiente a la primera mujer que se matriculó en la carrera de física. Ahora, esa mujer es una ancianilla. Este caso invita a reflexionar sobre una cuestión: Todavía, a día de hoy, existen mujeres que han sido “las primeras en”.
P.- Pero cada vez más desmontan esa anomalía…
R.- Sí y cada vez hay más científicas, más empresarias. De hecho, no es casualidad que las recientes iniciativas como el #MeToo o los conceptos del techo de cristal resuenen ahora con más fuerza que nunca. Salen de la ira. Esto ocurre porque la sociedad está empezando a despertar. Aun así, probablemente me atreva a decir que hasta que no muera esta generación no desaparecerá la anomalía. Yo he sido testigo de ello y recuerdo una situación que creo representa muy bien esta cuestión. Asistí a uno de los eventos más importantes del sector, llamado “Mundo Hacker 2015” (Kinépolis, Madrid).
Allí observé a la empresa de antivirus Sophos en cuyo stand tenía plantadas a ocho chicas vestidas con minifalda. En la parte trasera de su falda tenían escrito “Protected by Sophos”. Estas son técnicas de marketing indignantes. Machismos que siguen enquistando machismos en la sociedad. Es apreciable que faltan muchos “role models”, sobre todo en las bases de esa sociedad. De jóvenes todo nos inspira, y ahí hay que empezar a trabajar. Creo que en ese sentido Hollywood está enfocando bien esa visibilización de mujeres poderosas.
P.- Porque las niñas se fijan en ellas…
R.- Así es. Es que, el hecho de que no escojamos carreras de ciencias encierra un problema más holístico. ¿Por qué no lo hacemos? Por esa autoestima. Por los típicos clichés con los que nos han educado de que “se nos dan mejor las letras”. Esa teoría es desmontable. Hace tiempo yo iba a colegios rurales a impartir clases a niñas para animarles a salir “fuera del pueblo”, porque fuera de ese pueblo había “todo un mundo”. Un mundo, eso sí, desigual, que continúa representándose en los más pequeños. A mí me resultaba curioso que al oír el término “embarazada”, las niñas -en clase con sus compañeros- se avergonzaban. Eso es elocuente. Así que yo siempre les recomendaba que fueran desobedientes. Que gritaran y se enfadaran. Al fin y al cabo, las niñas educadas no han cambiado el mundo.
