Cuando Reuven Aronashvili, fundador y CEO de la empresa de ciberseguridad Cyesec Ltd. (CYE), ingresó a su primera clase de álgebra lineal en la Universidad de Tel Aviv (TAU), el profesor comenzó a gritarle porque pensaba que era el encargado de mantenimiento, que estaba ahí para arreglar el aire acondicionado que no funcionaba hacía semanas.
"Quizás me veía un poco diferente para él", dijo Aronashvili, hijo de dos inmigrantes georgianos en Israel, en una entrevista reciente. "Tuve muchas experiencias en mi vida en las cuales alguna gente me trató injustamente", dijo. "Pero no creo que el camino correcto sea quejarse, porque también se puede bromear con estas experiencias. Cada vez que veía a ese profesor, le preguntaba cómo estaba el aire acondicionado y luego terminaba obteniendo una puntuación perfecta en cada una de sus clases", contó.
Cuando tenía 16 años, Aronashvili comenzó a enseñar a adolescentes que no se graduaron de la escuela secundaria y estaban buscando aprobar sus exámenes finales. Según él, los estudiantes se mostraron escépticos cuando vieron que su maestro era un chico más joven que ellos y que provenía de un barrio difícil en la ciudad portuaria de Acre, en el norte de Israel.
A lo largo de los años, Aronashvili, de 36 años, ha sentido, una y otra vez que a primera vista no encaja en el estereotipo de un estudiante de matemáticas, un profesor, un oficial militar en una unidad tecnológica de élite o un empresario cuyo startup cuenta con corporaciones multinacionales entre sus clientes. Y, sin embargo, éstos son todos los elementos que componen su currículum.
Sus padres son muy trabajadores (su padre trabaja en una fábrica de muebles y su madre es enfermera de un hospital geriátrico) y su sueño, dijo Aronashvili, siempre fue que sus tres hijos no tuvieran que trabajar tan duro como ellos. “Esta sed de lograr, de no conformarme nunca con lo que tengo, es algo que no me abandona desde que era joven”, dijo.
Aronashvili fue un alumno destacado y dejó Acre a los 18 años para comenzar su licenciatura en TAU como soldado-estudiante en el programa Atidim para adolescentes desfavorecidos. “La universidad me abrió los ojos –agregó–, hasta entonces mi sueño era trabajar para el contratista de defensa Rafael Advanced Defense Systems Ltd., porque ése era el mejor trabajo para cualquiera en Acre. Conseguir un trabajo allí significa que lo lograste.”
Pero luego se dio cuenta de que sus aspiraciones podían ser mayores. Después de terminar su licenciatura, Aronashvili fue reclutado por la unidad de élite militar secreta Matzov, una abreviatura del centro de cifrado y seguridad de la información en hebreo.
Las unidades militares de élite israelíes más famosas son la Unidad 8200, el equivalente israelí a la NSA, y la unidad de tecnología de inteligencia, Unidad 81. Los veteranos de estas dos unidades encuentran rápidamente trabajo en las industrias de big data y ciberseguridad en el país. Matzov, que forma parte de la Dirección de Servicios Informáticos del ejército, recibe mucha menos fama y atención, a pesar de que está a la vanguardia del cifrado.
Matzov se dedica al desarrollo de tecnologías de seguridad de sistemas de información y cifrado. La unidad es la máxima autoridad de Israel en cifrado y ciberseguridad y ofrece sus servicios a todas las organizaciones de seguridad del país.
En 2005, a Aronashvili se le asignó la creación del equipo rojo de Matzov, encargado de atacar los sistemas informáticos del ejército israelí para detectar y abordar las vulnerabilidades.
"Fue como una startup y tuvimos que vendernos", dijo Aronashvili, "porque a los comandantes no les entusiasmaba la idea de ser hackeados". El equipo rojo comenzó atacando objetivos dentro de la Dirección de Servicios Informáticos, antes de llamar la atención del entonces Jefe de Estado Mayor Dan Halutz. Halutz permitió que el equipo avanzara para atacar nuevos objetivos, incluidos el cuerpo de inteligencia, la marina y el Servicio de Seguridad Interna Israelí (Shin Bet).
"Estábamos atacando sistemas militares sensibles para detectar agujeros en su seguridad, matrices logísticas y sistemas de armas", señaló Aronashvili. "Como organización y como estado aprendimos mucho sobre la brecha entre nuestras capacidades ofensivas y defensivas", explicó.
Durante sus siete años de servicio militar, Aronashvili también completó una maestría en ciencias de la computación como parte de un programa de excelencia militar.
Cuando fue dado de alta, en 2012, se volvió hacia el sector empresarial. Dos años más tarde, Aronashvili fundó CYE utilizando el conocimiento que acumuló en el ejército. Es una de las pocas empresas que tiene licencia para atacar y lo hace con el consentimiento explícito de ellas. Entre sus competidores israelíes se incluyen XM Cyber Ltd., fundada por el ex director del Mossad Tamir Pardo, y Candiru, que ha permanecido fuera del radar durante años.
Según Aronashvili, CYE "va hasta el final" con sus ataques, actuando como lo haría un verdadero hacker. El ataque es real y no simulado, lo que significa que la empresa puede tener una imagen más precisa, explicó.
“No le mostraremos cómo es el cierre completo de una línea de fabricación porque eso podría costar hasta u$d 150 millones”, comentó Aronashvili, “pero le mostraremos cómo se puede hacer. Llegaremos hasta la interfaz que apaga el sistema y nos detendremos allí. Les mostramos a los clientes que podemos robar propiedad intelectual o información secreta y que podemos cerrar su actividad comercial o piratear cuentas bancarias ".
Cuando hay mucho en juego, por ejemplo cuando se trata de aeropuertos, trenes e infraestructura, donde un ataque podría costar vidas, CYE apuesta por un enfoque más tradicional, según Aronashvili. “Nuestro principio rector es averiguar quién puede atacar a la organización, con qué herramientas y qué pueden ganar con el ataque”, dijo. "Entonces, podemos calificar los niveles de riesgo para que la empresa sepa qué debe abordar con mayor urgencia".
Si bien puede parecer arriesgado dejar que alguien hackee sus sistemas voluntariamente, Aronashvili dijo que los clientes prefieren enfrentar la realidad a través de CYE, ya que representa una amenaza mínima, mientras que un ataque real, utilizando los mismos métodos, podría ser una catástrofe.
5 צפייה בגלריה
Todos los empleados deben realizar una prueba de detector de mentiras.
(Shutterstock)
Estos métodos requieren que tanto Aronashvili como sus clientes puedan confiar completamente en cada empleado de CYE, ya que están expuestos a información extremadamente sensible. "Los polígrafos y las pruebas de integridad se encuentran entre nuestros requisitos de contratación", informó Aronashvili, "y cualquiera que alguna vez haya estado involucrado en un negocio sucio no trabajará para nosotros". Según él, no hay grises, sólo buenos y malos.
“No estoy preocupado por mi gente, incluso si los pongo frente a un banco y les muestro cómo robar u$d 100 millones sin que nadie se dé cuenta”, dijo. "Pero entrenar a alguien con antecedentes penales es un riesgo que simplemente no estoy dispuesto a correr", agregó, refiriéndose al cliché de Hollywood del hacker que hace tan buen trabajo pirateando al FBI que lo contratan.
El teletrabajo y sus debilidades
Ahora, con el cambio masivo hacia el trabajo desde casa debido a la pandemia de coronavirus, los atacantes cibernéticos deben sentirse como en un paraíso. “La gente trabaja desde casa con una contraseña de módem que suele ser su número de móvil. Atacar una casa privada es mucho más fácil. Algunos han agregado una capa adicional de seguridad, pero si desea dirigirse a una organización obtiene una lista de empleados y simplemente los prueba uno por uno en sus hogares. No muchas organizaciones pueden protegerse incluso de los ataques virales más tontos, por lo que la pregunta no es si podemos evitar ser atacados, sino cuándo seremos atacados y qué medidas podemos tomar para asegurarnos de que el daño sea mínimo."
5 צפייה בגלריה
El trabajo desde casa ha provocado un aumento en los intentos de incumplimiento.
(Shutterstock)
–Algunos afirman que Israel está alimentando a ciberatacantes asesinos que pueden causar estragos.
–Es verdad. Hay muchas habilidades en Israel que pueden causar daños muy dramáticos en las manos equivocadas. Tome Stuxnet (un gusano informático malicioso desarrollado supuestamente por Israel y los Estados Unidos que atacó el sistema nuclear iraní en 2011) fue uno de los ataques cibernéticos más severos que se haya producido y se están utilizando métodos similares para ataques hasta el día de hoy. Uno de los ataques cibernéticos más graves, WannaCry (un ataque de ransomware en miles de computadoras que tuvo lugar en 2017) se basó en una herramienta filtrada de la Agencia de Seguridad Nacional (NSA) de Estados Unidos. Sólo considere el impacto financiero de esto, sin mencionar que algunos ataques pueden matar físicamente a las personas.
–¿También expones atacantes o sólo vulnerabilidades?
–Muchas veces, cuando estamos atacando un sistema, encontramos que alguien nos había superado. Deshacernos de ellos es exactamente lo que hacemos. Una vez trabajamos con una de las compañías de electricidad más grandes del mundo, con cientos de miles de empleados, y llegamos a un punto en el que teníamos un control completo sobre el sistema, y encontramos muchos sitios porno en los servidores. Quien pirateó la compañía no dañó a la organización con un ataque malicioso, sólo utilizó sus servidores como un servicio de alojamiento gratuito y estable. Existe una correlación directa entre lo grande que es la organización y lo fácil que es atacarla. Las grandes organizaciones tienen más dificultades para defenderse.
Según Aronashvili, la "receta secreta" para prevenir un ataque es asegurarse de que sea demasiado costoso como para valer la pena, en comparación con lo que el atacante espera obtener. Enfatizó además que los ataques de los países son mucho más difíciles de proteger.
–Entonces, ¿qué pasa si Corea del Norte ataca a Moderna Inc. o la Universidad de Oxford, quienes están trabajando en una vacuna contra el COVID-19?
–En un tema tan delicado, los países pueden elegir uno de dos caminos: pueden invertir una fortuna en investigación o esperar a que alguien más encuentre una vacuna y luego invertir en tratar de robarla. El enfoque tradicionalmente atribuido a China, aunque no todas las empresas chinas, por supuesto, es que la información se puede obtener utilizando todos los medios. La motivación aquí es clara. No veo que el presidente de los Estados Unidos, Donald Trump, permita que Moderna ayude a los chinos antes de que los Estados Unidos estén completamente cubiertos. La situación geopolítica es muy relevante.
