Mar López no estudió ninguna Ingeniería, ni una carrera técnica; pero empezó a programar en 2º de EGB. "Afortunadamente mis padres me lo impulsaron. En aquella época, una niña con seis años te dice que quiere un ordenador y quiere programar, la respuesta más común es que estará loca", recuerda. Con el ejemplo de su padre economista, estudió Administración y Dirección de Empresas, pero lo que ella llama su "estrella" le fue guiando hasta convertirse en la jefa de la Oficina de Ciberseguridad de la Moncloa, un cargo que ocupó hasta 2021.
La consultora tecnológica Accenture fue la compañía que la trajo de vuelta a casa, a Málaga, donde se crió. Este lunes, Mar López fue la protagonista del VIII Encuentro Tecnológico de EL ESPAÑOL de Málaga, donde repasó su trayectoria y su visión del ecosistema y la ciberseguridad.
"Necesitábamos la apuesta política. Que el presidente Sánchez hablara de la estrategia de ciberseguridad y estuviera en su discurso, pues nos ayudaba. Intentábamos que estuviera en el debate político, pero igual que con Rajoy", afirma en un momento de la entrevista: "Tiene que estar en el debate político y social, que la cultura de la ciberseguridad cale pasa por muchas partes". Esta es una transcripción resumida del intercambio de preguntas y respuestas con este periodista; que fue seguido de cuestiones del público y un fructífero networking, cerveza en mano.
Una de los aspectos que más me llama la atención de tu trayectoria es la capacidad de pivotaje y adaptación continua.
Creo que es muy relevante perderle el miedo a las cosas, decir: "¿Por qué yo no?". Ya me lo dirá alguien. Cuando me llaman, cojo mi AVE y me planto en La Moncloa para hacer la entrevista, pensé que solo por el palacio ya era una experiencia en sí misma. Si tú estás allí y no sirves, alguien te lo dirá, pero ya tendrás otra cosa.
No sé por qué, a mí nunca me ha dado miedo. Me he enfrentado a muchas cosas en la vida, personales y etcétera, que quizás han hecho que haya madurado en ese sentido de no tener miedo a las cosas. Entiendo que no es para todo el mundo igual. Yo soy muy ambiciosa profesionalmente y nunca me ha dado miedo decirlo. Mis ambiciones profesionales han estado por encima de muchas cosas porque yo lo he elegido por mí misma. Todo eso favorece a que si te caes, te levantas otra vez. Hay que ser fuertes y esa palabra tan bonita que nos gusta ahora, resilientes. Somos resilientes en absolutamente todo lo que nos propongamos, pero hay que tener esa visión positiva.
Es verdad que nada gana sin esfuerzo. Yo he puesto mucho esfuerzo. Mi ambición ha hecho que yo me esfuerce aún más para estar en lo que yo quería hacer. No es fácil, tienes que renunciar a muchísimas cosas. Es una toma de decisión en tu día a día.
Cuando recibes esa llamada del Departamento de Seguridad Nacional, vas al búnker de Moncloa, ¿no hay un poco de —no miedo, pero— respeto por dónde te estás metiendo?
Hombre, es una responsabilidad, pero como tampoco muy claro lo que iba a hacer, me tiré a la piscina. Tú llegas allí y entras a un edificio clasificado. Lo primero que hacen es que te ponen un papel por delante de que no puedes contar nada de lo que vas a ver allí. Eso, al principio, te da respeto; pero es lo que te decía, ¿y la experiencia de estar en un sitio así? Aunque luego no puedas contarlo, ¡pero te lo llevas para ti! Esto tampoco pasa todos los días ni a todo el mundo, así que aprovecha.
¿Cuál era la situación de la ciberseguridad estatal en aquel 2012?
La amenaza ya se sabía. Los expertos que llevan muchos años en ciberseguridad saben que no es nada nuevo. Desde los años '70 o incluso antes, ya se abordaba que las redes eran vulnerables. Esto fue creciendo, nace Internet, todo está abierto a todo el mundo y estamos en un año en el que ya no sabemos ni de lo que estamos hablando: todos conectados, ampliamos nuestra superficie de exposición, inteligencia artificial, etc.
En 2012, a nivel técnico se hablaba de ciberseguridad. En el ámbito público ya había muchos organismos trabajando en ello; pero, cuando entras allí, hablar de ciberseguridad a nivel de estrategia... Era cosa de técnicos. Nadie más hablaba de los riegos. No fue fácil vender que era una amenaza para la seguridad nacional que tenía que estar en un papel del Gobierno. Había un caldo de cultivo, pero no había esa conciencia ni mucho menos. Cuando tienes que convencer a un político de que apueste por esto, es complicado. Siempre ha sido traducir desde los ámbitos más técnicos para tú ponerlo en palabras más simples y que otros lo entiendan. Hoy en día, gracias a Dios, la palabra ciberseguridad está mucho más en todo.
Cuando te conviertes en la jefa de la Oficina de Ciberseguridad, ¿qué priorizaste?
Lo primero fue aprender qué es la seguridad nacional, con quién iba a trabajar, cómo y hacia dónde. No estás en un sitio cualquiera, estás en Presidencia del Gobierno con una responsabilidad y una toma de decisiones que va a afectar a mucha gente. Tú, como asesor, haces una serie de recomendaciones que tienes que vender de la mejor manera posible y de la forma más comprensible para que te lo compren. Se trata de entender dónde te movías y con quién.
La seguridad nacional no es la defensa nacional, pero están muy ligadas. Te enfrentas a un mundo donde tú nunca has estado trabajando, con Fuerzos y Cuerpos de Seguridad del Estado, Defensa, el Centro Nacional de Inteligencia... Era sobre todo poner a todo ese equipo en el mismo lugar para hablar de las cosas que nos preocupaban a todos, preparar a la sociedad para lo que estaba pasando y cómo verlo eso en el tiempo. No era nada fácil tampoco. Eran desafíos importantes y los he hecho de la mejor manera posible. Seguro otro lo hubiera hecho de otra forma, pero...
Otra imagen que me parece potente es la de hacerse valer en ese búnker de Moncloa habiendo llegado como outsider, como civil y también como mujer en un entorno muy masculinizado. ¿Cómo fue aquello?
Eso se demuestra trabajando mucho, trabajando bien, trabajando en equipo, escuchando a la gente que quieres y no quieres escuchar... Escuchar sobre todo. Como mujer, el ámbito de la ciberseguridad es muy masculino. Sentarse en una mesa en la que eres la única mujer e inclusive la más joven.... Para hacerte respetar, te lo tienes que currar muy bien. Yo tuve que ser una metralleta y aquí, si alguien trae un tema, yo traigo diez. Ahora me preguntas y verás cómo me lo sé. Mis compañeras decían: "Es que nos dejas mal". Ah, pues trabaja más. Si yo tengo tiempo en 8 o 10 horas de hacer todo esto, entiendo que tú puedes hacer lo mismo. Aquí se viene a currar.
¿Qué dificultades y qué gratificaciones recuerdas de esa etapa?
Dificultades: el empezar en algo que no estaba construido, ese modelo de gobernanza de ciberseguridad, trabajar con distintos actores de su padre y de su madre... Beneficios: muchísimos. Primero, lo que he aprendido. Es el mejor máster que me ha dado la vida, no lo podría haber aprendido en otro sitio. También la gente, las personas. Los compañeros, el equipo, me siguen llamando para invitarse a sus bodas, por ejemplo. Me he dejado verdaderos amigos. Y reconocimiento, aunque a veces me da vergüenza decirlo: ¡yo tengo tres medallas militares! Eso es un verdadero orgullo para mí.
Al director del departamento de seguridad, cuando me fui, le decía que me iba por una situación personal y porque quería volver a casa; pero la seguridad nacional no me la iba a borrar nadie del corazón. Es una satisfacción que voy a tener toda la vida. No creo que haga nada igual.
¿Cómo viviste desde dentro un ataque masivo como fue el de WannaCry en 2017?
Me pilló de camino a Málaga. Venía a una ponencia en el AVE cuando me llamaron y saltaron todas las alarmas. Se trató de poner esa capa de coordinación para que todos los actores de la ciberseguridad, incluido el sector privado, para recuperar todos los servicios. Eso nos dio lecciones aprendidas: no estábamos preparados. Tuvimos que articular muchos procedimientos de gestión, de cómo teníamos que abordar este tipo de crisis a nivel técnico, operacionales, estratégicos.
Nos enseñó mucho, pero parece mentira que tengan que pasar estas cosas para que realmente respondamos, y eso también nos pasa hoy. Nos pasa hoy, por ejemplo, en el sector salud: hace dos días, algún hospital de Barcelona sufrió un ciberataque. Parece mentira que tengan que pasar estas cosas para ver cuán vulnerables somos y obtengamos una respuesta. La gente de la ciberseguridad intenta hacer una acción más preventiva de concienciación, que estas cosas pasan y nada es 100% seguro, pero hay muchos mecanismos para que los efectos se minimicen e incluso no pasen. Nos queda mucho por hacer a todos: a la sociedad, a las empresas, a la administración y al mundo. No es un problema de cuatro gatos, esto mueve a mucha gente.
¿Notas que ese llamamiento constante a la prevención haya permeado?
Yo soy una idealista. Siempre he dicho que aquí tenemos que colaborar todos para que realmente haya un impacto social en todos los sentidos. Existen organismos que se dedican a la cultura de la ciberseguridad que hacen su parte, pero creo que una acción conjunta es lo único que realmente al final puede conseguir un impacto en la sociedad. Hablo sobre todo de los influencers tecnológicos: los GAFA —Google, Facebook y todos estos—, que son de los que de alguna manera nos creemos todos, tienen el poder y representan buena parte del PIB mundial. Hasta que realmente no consigamos entre todos los gobiernos y toda la sociedad decir cuán importante es este tema, iremos dando gotitas, pero no tendremos el impacto que realmente necesitamos. Va a ser muy difícil de conseguir, y lo hemos visto en el tema de la desinformación... Dejémoslo en un idealismo que creo que se puede articular.
Vuelves a Málaga fundamentalmente por motivos personales, pero entiendo que cuando llegas aquí también es un acicate ver un ecosistema de ciberseguridad pujante.
No era tan consciente hasta que me vine aquí de lo que realmente está pasando en Málaga. Yo siempre he sido una firme defensora de que la ciudad era maravillosa para los negocios por su situación y por todo. Este año han pasado muchas cosas y cada vez van pasando más. Esto parte de los precursores, como Bernardo (Quintero) y Google. Ahora todo el mundo sabe dónde está Málaga. Cuando yo me fui a Inglaterra a estudiar, nadie sabía dónde había nacido Picasso. La gente sabe dónde está Málaga y qué hace, y eso es muy importante. Esa visión es la que ha conseguido atraer a todas esas empresas que ahora invierten en tener su sitio aquí.
La semana pasada tuve un congreso de ciberseguridad que me tocó abrir. Lo primero que dije es que estaba muy orgullosa de dar ciberseguridad desde Málaga para el mundo, ¡pues todas las empresas que vinieron después contaron que estaban también en Málaga o lo planeaban! Y el que no estaba, ya se lo pensaba por qué él no. Estaba todo el mundo envidioso porque no estaban en Málaga. Vodafone, Santander, Capgemini, EY, Telefónica... No creo que el ecosistema de Málaga ahora mismo tenga comparación.
El otro día, disteis una entrevista a Sergio de los Santos en la que defendía que Málaga no sería solo un referente nacional de ciberseguridad, sino internacional. Creo que lo está siendo ya: hay gente que se quiere venir de Alemania a trabajar, y eso creo que es una señal que nos tiene que enseñar en qué posición está ahora mismo Málaga. Esto supone la atracción de muchos otros, y eso es bueno profesionalmente porque nos da más posibilidades de quedarnos en casa. Yo no me quiero ir, creo que nunca más volveré a Madrid si puedo hacerlo. También podemos atraer a muchos profesionales para dedicarse a la tecnología y la ciberseguridad.
Por ahora estamos todos muy contentos, pero ¿qué retos y dificultades crees que nos podemos encontrar en el camino?
Creo que no son solo nuestros, sino que lo son en el ámbito global. Tenemos un problema serio en el ámbito de los profesionales. No somos capaces de responder a toda la demanda de trabajadores en el mundo tecnológico y de ciberseguridad. Aunque se lleva muchos años hablando de ciberseguridad, quizás no estábamos preparados para la desaparición de viejas profesiones y aparición de nuevas.
En cuanto a Málaga, creo que las cosas se han hecho muy bien. No esperaba todo lo que ha crecido Málaga en todos los sentidos, pero es verdad que quizás tenemos que dar un paso más. No sé cuál, tendría que analizar muy bien la situación para ver cómo responder a todas las personas y todas las empresas que vienen. Tenemos ahí el parque tecnológico, pero las empresas quieren estar en el Centro y no tienen espacio allí. Málaga es mucho más, es muy grande, y tenemos también Torremolinos, Alhaurín está a 20 minutos del Centro... Habrá que mejorar las comunicaciones, los aparcamientos, todo habrá que repensarlo e ir mejorando la ciudad. Ha mejorado mucho respecto a la oferta cultural, puedes estar todo el día de evento en evento si quieres. ¡Es impresionante! Es brutal lo que ha cambiado Málaga, también hay mejoras y habrá que abordarlas. Algo fundamental es qué piensa el malagueño de todo lo que está pasando y cómo va a mejorar también su vida en el día a día. Tiene sus pros y sus contras. Es concienciación y ver las cosas positivas del por qué.
Sobre tu rol en Accenture: recuerdo escucharte diciendo que, de algún modo, ahora ayudas a aplicar esa legislación que desarrollaste desde Moncloa.
Cuando estás al otro lado, como regulador, no te das cuenta de la otra parte, el impacto en el sector privado. Ahora lo estoy sufriendo. Esas decisiones que se tomaron entre muchos los estoy viviendo desde el otro lado. No es nada fácil, porque las conoces desde dentro y sabes cómo se han negociado, y llevarlo al sector privado no es fácil porque existe mucho desconocimiento. Hay sectores como el financiero que ya están altamente regulados y saben que la regulación es la que es; pero hay otros como el sanitario, que quizás no conocen tanto o se han hecho los locos. La regulación afecta a todos por igual, y es difícil.
Respecto a Women4Cyber, ¿en qué consiste?
Nace como una articulación desde la Comisión Europea. Se crea una fundación para buscar ese equilibrio de género dentro de la tecnología y atraer ese talento femenino que tanta falta hace. Se propuso la posibilidad de crear capítulos de la fundación en los estados miembro, con objetivos como dar visibilidad a las mujeres que se dedican a la ciberseguridad. España levantó la mano la primera y dijo que queríamos ser los primeros. Fuimos los primeros y creo que somos de las escisiones más activas.
Somos quince en la junta directiva. Todos son mujeres con responsabilidad con muchas ganas de hacer muchas cosas en muchas líneas, desde emprendimiento hasta responsabilidad social corporativa. Intentamos estar presentes en todos los eventos tecnológicos y de ciberseguridad: no solo para hablar de mujeres, sino para estar en todas las mesas.