Cristina Pitarch lleva toda una vida trabajando en tecnología. Es la máxima responsable de ciberseguridad en Google Cloud para Europa, Oriente Medio y África. Sin embargo, nunca estudió ni informática, ni programación, ni nada por el estilo. Ella se formó en Derecho en la universidad, y tras un largo periodo en EE. UU., incluido un breve paso por Silicon Valley, se especializó en tecnología y seguridad.
A pesar de su inmensa formación durante años, confiesa a Magas haber sentido las denominadas 'microagresiones' machistas: "Siempre hay algún toque como que me interrumpan cuando estoy hablando para decir lo mismo que yo acabo de decir, que llegue a una reunión con un compañero y piensen que el compañero es el experto y le miran a él cada vez que hacen una pregunta… Sí".
Y añade: "Pero cada vez las estoy viendo menos. También te digo que personalmente suelo protestar ante este tipo de actitudes. Considero que es mi responsabilidad, porque si no lo decimos, no se va a dejar de hacer, y hay que mejorar la situación para las mujeres que vienen detrás de nosotras. En mi entorno he logrado que muy poca gente lo haga ya".
La madrileña, inicialmente, trazó su camino hacia el derecho laboral, pero la vida la llevó por otros derroteros. "Creo que todo lo que estudié, al final me ha ayudado mucho para entender y ayudar a las empresas. Estos son entornos muy regulados, tenemos que hablar constantemente con reguladores. En muchas ocasiones, hablo con gente muy técnica, pero que no saben cómo entender la ley y cómo estar dentro de este entorno".
Cristina Pitarch en las oficinas de Google.
Y continúa: "La ciberseguridad requiere de muchísimo conocimiento legal. No existen muchos expertos en este tema, la verdad, en leyes de ciberseguridad".
Trabajaste en Silicon Valley, ¿cómo fue?
Era muy jovencita y resultó fascinante. Una experiencia increíble que también me abrió los ojos. Silicon Valley es un entorno muy dinámico y enriquecedor cuando te estás formando. Sobre todo, me llamó la atención lo creativo que es, todo el mundo está construyendo algo. Te impulsan, no te pones barreras nunca, nadie te dice que eso no se ha hecho nunca y no lo vamos a hacer. Y eso realmente me encantó.
¿Quién te dio el mejor consejo para la vida?
Quizás el mejor ha sido el de mi madre, que es la figura en la que me fijo. Siempre me ha animado a ser muy independiente. Y, sobre todo, a luchar por lo que quiero. Si quieres algo lucha, porque nadie te lo va a dar gratis. Es el mantra que tengo.
¿Están más expuestas las pymes a los ciberataques?
Los ciberataques se producen a todo tipo de empresas. Lo que pasa es que hemos visto que el 44% de las pymes en España detectaron al menos un ataque el año pasado. También se producen muchísimos ataques a empresas de todo tipo, pero las pymes están más desprotegidas en ese sentido.
¿Qué tiene que hacer una empresa que quiere estar protegida?
Tenemos que considerar la seguridad como parte de la estrategia de empresa. Tiene que estar en el centro de ella y muchas veces se hace tarde. Primero se establece una estrategia y después se piensa en la seguridad, y tendría que ser al revés. Primero piensa en tu seguridad y después crea la estrategia.
Hay que ser más consciente del impacto que una brecha de ciberseguridad puede tener en cualquier empresa. En una pyme, por ejemplo, es devastador. Y tener un plan de prevención y otro de actuación, o sea, una cosa por si pasa y otro para cuando pasa, es básico.
También se trata de actualizar equipos que están obsoletos, existe una escasa implementación de medidas preventivas, una falta de percepción de riesgo y todo eso hace que sea más fácil que estas empresas sean atacadas.
Todo se trastocó con la pandemia...
En la pandemia todo lo que son herramientas digitales han ido creciendo porque existió esa necesidad y los números de ataques crecieron. Al mismo tiempo, el número de empresas digitales aumentó, pero también la detención lo hizo. La pandemia nos ha dado una aceleración de lo que hubiera pasado normalmente en los siguientes cinco años.
¿Es muy caro proteger una empresa?
Es muy caro si pretendes proteger tu empresa después de un ataque. ¿Es muy caro cuando lo haces al principio y cuando creas, como estaba diciendo, una estrategia? No. Simplemente se trata de crear ciertos pasos Y en algunos casos, puede resultar hasta coste cero. Muy caro es no hacerlo.
En el mundo de la ciberseguridad no hay muchas mujeres y, sin embargo, se necesitan muchos expertos en España, y en el mundo. ¿Qué le dirías a las jóvenes para que se planteen su futuro hacia este sector?
Siempre animo a que lo exploren, porque creo que es fascinante y poco conocido. Pocas veces puedes trabajar en un entorno en el que ves los resultados de lo que haces tan directamente. Es muy dinámico, tiene muchísimas oportunidades y, a veces, nos tira para atrás cuando no hay referentes y hay una falta de conocimiento de qué es lo que se hace. Se entiende la ciberseguridad como una habitación oscura, hay gente enfrente de una pantalla todo el rato que no habla con nadie. Y, obviamente, no es eso.
Creo que hay muchísimos ángulos. Se necesita mucha diversidad de formación y, además, lo que es interesante, es que es muy creativo y muy divertido. Esa parte no se ve.
La directiva en un momento de la entrevista con Magas.
¿Por qué crees que hay tan poquitas mujeres en el sector de la tecnología?, ¿cómo podemos cambiar esta tendencia?
En principio, es un problema de base. Se trata de percepciones, del hecho de que se perciba que a las niñas les cuestan más las ciencias y las matemáticas. También yo creo que estos sectores se sientan menos creativos, y esto echa un poco para atrás. Hay que ver cómo se cambia esa percepción.
De ahí, pasamos a la universidad y allí menos mujeres quieren estudiar carreras técnicas y, por lo tanto, las empresas después tienen una base muy pequeña donde poder elegir. ¿Cómo solucionarlo? Con más información, más referentes y más ejemplos visuales. ¿Cuántas series de televisión hay de médicos?
Hay tantas oportunidades en estos campos, hay tanta oportunidad de hacer carrera, de conseguir trabajo, que la sociedad se beneficiaría muchísimo si se diera más visibilidad a esto.
¿Y para que las niñas se decidan por la tecnología?
Animarlas. Sobre todo, entablar conversaciones con los colegios y con los orientadores, para que cuando una niña diga quiero hacer ciencias, no le respondan: "Eso es muy difícil", que pasa mucho y es muy preocupante. También creo que hay que hacer los programas de educación más divertidos.
Las ciencias y las matemáticas hay que hacerlas entretenidas, que lo son. Ser más conscientes de esto desde la base para que se pueda corregir esta situación. Porque nosotros lo estamos intentando hacer desde las empresas, pero ya es tarde.
Tú ofreces 'masterclass' en los centros
Sí, doy muchas charlas en colegios, y estoy muy involucrada con el tema de la educación, sobre todo, de niñas, y también hago algún mentoring.
El problema es que muchas mujeres y niñas no ven los propósitos de estos estudios.
Sí, por eso hay tantas niñas que quieren estudiar enfermería o estudiar medicina, porque es muy claro. Pero en la ciberseguridad también estamos luchando contra los malos.
Hablemos de ciberataques a empresas e instituciones, ¿cuánto se producen y cómo se pueden evitar?
El programa Mandiant de Google Cloud intervino en más de 1800 incidentes el año pasado. Las investigaciones que hemos hecho dicen que los incidentes se han incrementado en un 35% de un año a otro. Y un dato curioso, es que el 76% de los incidentes, se producen durante las noches de lunes a viernes, de 18:00 de la tarde a 08:00 AM o durante los fines de semana.
Sabemos que el número de ataques están creciendo de una manera exponencial, pero también que la detención está mejorando. Y por darte otro dato, en Europa el tiempo de permanencia de un ataque bajó en el 2021 en un 70%. O sea, tardamos mucho menos. Ahora, con la inteligencia artificial la detención va a ser muchísimo más rápida, más eficiente y con menos costes.
Decías que incluso hay empresas que te dicen que no han recibido ningún ataque, que no se han enterado...
Esto ha pasado y creo que cada vez pasa menos. Estamos hablando mucho de ciberseguridad, de sistemas, de conciencia. Pero sí que es verdad que hace tres años pasaba muchísimo.
¿Cuál es la estrategia de Google en ciberseguridad trazada para este año?
Nosotros queremos proteger tanto a usuarios, empresas y gobiernos a través de productos que son seguros por defecto. Cualquier tipo de producto de Google ya está esa seguridad incluida dentro.
La ciberseguridad es todo materia de colaboración y nosotros queremos ayudar a la sociedad compartiendo ese conocimiento que nosotros tenemos, porque estamos colaborando en todos los proyectos en código abierto.
El objetivo es que podamos avanzar en todas las tecnologías futuras. Vamos a hablar de inteligencia artificial 'hasta en la sopa', para poder combatir esas ciberamenazas de próxima generación.
Estamos en una nueva época de informática distribuida, estamos inmersos en la quinta época, que es una nueva revolución, la tecnología va a cambiar, la información y la forma como la utilizamos. Y en Google nosotros llevamos una década trabajando para incorporar esa inteligencia artificial a nuestros productos, y a las soluciones. Para nosotros es básico que toda la sociedad se pueda beneficiar.
¿La guerra en Ucrania ha contribuido al aumento de estos ciberataques?
La situación geopolítica en general ha contribuido a aumentar los ciberataques y, desde luego, Rusia está ejerciendo mucha presión sobre Ucrania. Nuestra predicción para este año es que Ucrania va a seguir siendo un foco principal de actividad y de amenazas rusas porque van a seguir recopilando inteligencia, ataques disruptivos, destructivos y las operaciones de información se van a producir incluso a un ritmo más elevado.
¿Cuáles son los retos de cara al futuro?
Los mayores retos en materia de ciberseguridad suelen ser la sobrecarga de amenazas en empresas, y también reducir esa brecha de habilidades, que no existen demasiadas personas que están formadas en ciberseguridad.
Cada vez cuesta más trabajo encontrar talento. Y si hablamos de las nuevas tecnologías, van a ayudar infinitamente a los equipos de seguridad, pero también van a ampliar esa superficie de ataques.
En el 2024, la inteligencia artificial va a proporcionar a esos ataques formas nuevas de llevar a cabo campañas de phishing en operaciones de información. Pero la parte positiva es que los defensores, nosotros, vamos a utilizar esas mismas tecnologías para fortalecer la detención, la respuesta y atribución de adversarios.
Google acaba de mandar un forecast para este 2024: 'El informe de predicción de Google de Ciberseguridad 2024'. Tenemos la responsabilidad de usarlo para ayudar a que todos los profesionales de la ciberseguridad estén preparados.
El informe predice lo que va a pasar en el 2024: cuáles van a ser los ataques más comunes, dónde tenemos que estar preparados, de dónde van a venir, cuáles son los focos y en qué tienen que focalizarse las empresas según el ataque.