17 de Julio de 2024
Ciberseguridad en todas las fases
Su profundo interés por la ciberseguridad y el hacking corporativo llevó a Gabriel Lazo Canazas a identificar la falta de servicios especializados en el sector, en el 2007, y a crear su propia empresa, Enhacke. Gracias a su perseverancia y convicción, superó los obstáculos iniciales para luego crecer, establecer alianzas internacionales y ofrecer una amplia gama de servicios de ciberseguridad. Él estudió Ingeniería de Sistemas en la Universidad de Lima.
¿Podrías compartir la motivación que tuviste para crear tu propia empresa?
La ciberseguridad y el hacking corporativo eran temas que me interesaban muchísimo, incluso desde antes de ingresar a estudiar en la Universidad de Lima. Al trabajar en distintas empresas, incluso una de telecomunicaciones, por el año 2007, me di cuenta de que no había mucha oferta de servicios altamente especializados en este tema, y me pareció que esa era una oportunidad de hacer empresa. Mi principal motivación era desarrollarme en algo que me encantaba hacer.
¿Qué obstáculos y retos superaste en los inicios?
El inicio siempre es difícil, porque es algo nuevo y no se tiene experiencia. En mi caso, el reto que me propuse inicialmente fue ganar un concurso de emprendimiento que se desarrollaba por el año 2008. Como la idea de ofrecer servicios de hacking a empresas era bastante nueva y tenía un buen sustento de modelo de negocio, fue elegida ganadora. Esto me dio la posibilidad de acceder a un capital semilla, viajar a Europa y participar en una feria de tecnología que incluía reuniones de rueda de negocios. De esa manera, refinamos nuestro modelo y lo perfilamos a mayor escala, a la vez que conocí sobre la industria. El siguiente reto que marcó un hito fue negociar la representación local de una empresa de ciberseguridad que ofrecía servicios desde mucho tiempo antes para todo Europa.
¿Cómo fue para ti conseguir tus primeros clientes?
Fue difícil. Una empresa nueva, pequeña y con gente muy joven no suele inspirar el grado de solidez o confianza de las empresas grandes, sobre todo en un servicio en el que se requiere mucha confianza, como proveer servicios de hacking corporativo. De hecho, esto es lo primero que ofrecimos en Enhacke. Lo que nos ayudó mucho fue conseguir la representación de una empresa reconocida que ofrecía este tipo de servicios en Europa. Así, obtuvimos el respaldo que necesitábamos para generar confianza en nuestros usuarios. Una vez que conseguimos los primeros clientes, siempre enfocados mucho en ofrecer el mejor servicio posible, las recomendaciones no se hicieron esperar. Esto nos facilitó seguir la obtención de cuentas.
Después de brindar servicios de hacking ético, ¿qué otros otorgaste?
Ethical hacking corporativo es un servicio que ofrece una radiografía del estado actual de ciberseguridad de la organización. Permite saber qué vulnerabilidades hay actualmente en la infraestructura que deben atenderse cuanto antes, porque posiblemente ya son explotadas por cibercriminales para extraer información. En ese momento, este servicio tuvo muy buena llegada, ya que era el que menos se ofrecía localmente. Recordemos que en esa época el auge de los ciberataques recién se iniciaba.
Luego, con el incremento de los ciberataques, comenzamos a brindar también servicios de informática forense para analizar escenarios de poshackeo. En este rubro, las empresas ya habían sido víctimas de ataques y necesitaban saber quién era el responsable, por dónde o qué vector de ataque se había empleado, cuál era la vulnerabilidad utilizada, cómo se parchaba, desde cuándo se había filtrado la información sensible y, lo más importante, cómo se aseguraban de que esto no volviera a ocurrir.
Actualmente, ofrecemos una amplia gama de servicios para que las organizaciones tengan las capacidades completas de ciberseguridad en todas sus fases. Por ejemplo, en identificación, para conocer lo que se tiene en infraestructura informática y monitorizarlo, y saber cuáles son las vulnerabilidades presentes, en dónde están localizadas y quién podría intentar atacar en las siguientes veinticuatro horas. Igualmente, en protección, mediante controles procedimentales o tecnológicos se protege la infraestructura TI de la empresa y su información.
En detección, nos enfocamos no solo en los ataques y los intentos de ataque, sino también en las intrusiones reales que se llevan a cabo en distintos niveles de la organización (correos, dispositivos finales, servidores, nube privada, etcétera). En el tema de respuesta, nos centramos en todos los incidentes detectados y algunas veces pronosticados por los sistemas de alerta temprana, de la forma más eficiente posible. Finalmente, en recuperación, lo que hacemos es obtener el estado inicial cuanto antes, con el menor impacto de negocio posible, lo que es también conocido como ciberresiliencia
¿Cómo ha crecido tu empresa en el tiempo?
Diría que ha crecido mucho en todos los aspectos: en personal, en servicios y en alcance comercial. Desde que comencé con una idea y me presenté en concursos de financiamiento hasta tener actualmente cerca de veinte colaboradores. En servicios, ofrecía ethical hacking y ahora brindo un conjunto de servicios que incluyen soluciones de gama alta corporativa con distintos partners internacionales de las marcas más prestigiosas a nivel mundial.
Ahora, además, no solo estoy en el mercado local. Nos hemos expandido a distintos países latinoamericanos y de Europa por medio de alianzas con otras empresas. Hemos pasado de clientes medianos a grandes empresas o incluso grupos corporativos multinacionales. Adicionalmente, hace unos años también recibimos un importante aporte de capital de nuestros socios europeos, que nos permitió catapultar las operaciones.
¿Cuál es la importancia de resguardar los datos e información de empresas y personas? ¿Qué riesgos se pueden evitar?
Para una empresa es vital proteger su información para que todos los procesos se ejecuten de forma correcta. Desde cosas muy simples, como horarios y datos de los trabajadores, pasando por fórmulas e información de procedimientos, hasta datos de proveedores, clientes, facturación e inversiones. En cada uno de los estratos de la organización, se opera con base en algún tipo de información. Si esta falta o es modificada, se producirán errores, y pérdidas de tiempo y financieras. En algunos casos, incluso, la consecuencia es la pérdida o el peligro de la vida humana. La cantidad de riesgos digitales a los que una empresa o persona está expuesta hoy en día es tremenda. Los que se pueden evitar con el menor esfuerzo posible son los riesgos por sobreexposición de información o filtración voluntaria.
¿Qué es la sobreexposición de información?
Es la información que compartimos libremente, a través de redes sociales, sin ningún tipo de cuidado, con perfiles abiertos completamente, sin ningún tipo de aseguramiento o configuración de privacidad. Toda esta información es utilizada por cibercriminales para suplantar identidad, generar fraudes y hasta extorsionar. Estos ataques pueden dirigirse solamente a la persona o ser utilizada como medio para lograr una intrusión en la empresa.
¿Qué tanto conocimiento tienen las personas y las empresas sobre la necesidad de cuidar su información?
A pesar de que hay mucho esfuerzo mediático por generar conciencia en ciberseguridad, la mayoría de las empresas y personas se encuentran desprotegidas. Las empresas que sí hacen esfuerzos por protección, por lo general, están en un rubro o sector regulado por alguna entidad supervisora que pide lineamientos o requerimientos básicos en cuanto a ciberseguridad y protección de la información. Además, si las empresas están en sectores no regulados, son en su mayoría reactivas, es decir, se enteran del riesgo cuando ya fueron atacadas y el impacto al negocio ya se dio.
¿Cuál es tu participación en ChulloHack?
Ese fue un proyecto en paralelo que llevé a cabo para sensibilizar sobre los riesgos informáticos y para generar una comunidad interesada en el tema del hacking y ciberseguridad, ya que hacía falta gente formada y con conocimientos en este tema. Años después, esta idea dio forma a lo que ahora es nuestra área de Academy, con el proyecto Cyberhack, que brinda capacitación especializada en todos los aspectos de ciberseguridad: ofensiva, defensiva, de gestión y forense.
Tienes una vocación por la enseñanza y por compartir tus conocimientos en diferentes eventos, ¿verdad?
Siempre he creído que la información debe ser compartida, sobre todo en una industria tan compleja como la ciberseguridad. Esto me llevó a generar la comunidad y a tener presencia en distintas redes sociales, como Facebook, Instagram y TikTok (@gabsitus). Estas han crecido y, al día de hoy, en total tenemos más de 200 mil seguidores que confían en nuestro material: infografías, alertas y contenido en general sobre ciberseguridad. Este crecimiento en redes tuvo como consecuencia que me inviten a distintos eventos del sector público y privado, en varios países, a través de los años. El más reciente fue hace un par de meses, en abril, Mundo Hacker Day, en Madrid, donde hablé sobre las tendencias en cibercrimen y el uso de la IA por parte de los cibercriminales para generar mayor impacto en sus ataques.
Aparte de Enhacke, ¿en qué otros lugares has trabajado y qué hacías?
Al principio, trabajé como desarrollador, pero siempre en temas de ciberseguridad. Luego, estuve en una empresa de telecomunicaciones, en la parte de gestión de redes telemáticas, donde me di cuenta de la necesidad que había de servicios especializados de ciberseguridad. Esto lo corroboré porque, al inicio de Enhacke, muchas empresas de tecnología querían trabajar con nosotros como marca blanca, así que también ofrecíamos los servicios como consultoría tercerizada.
He impartido cursos de ciberseguridad en varias instituciones y universidades en Perú, Colombia y España. Además, formé parte del elenco del programa de televisión Mundo Hacker, en el que hacíamos ataques en vivo a empresas y personas para mostrar la realidad de los riesgos al usar la tecnología. El programa nació por una apuesta de la televisora española canal 3, tuvo muchísima llegada y, en su segunda temporada, fue adquirido por la cadena Discovery para empezar su difusión en Discovery Max. Después, los derechos también se vendieron para canal 13 de Colombia y grabamos una temporada más allá.
Con el programa de televisión también surgió la oportunidad de escribir para Rama Multimedia, una editorial española para la que escribí libros técnicos sobre ciberseguridad, que en sus siguientes ediciones también formaron parte de la serie de libros Mundo Hacker. También, suelo escribir para las revistas Hakin9 y PenTest Magazine. Por otro lado, fui seleccionado por la Organización de los Estados Americanos como director técnico para el equipo olímpico de ciberseguridad en los Ibero-American CyberSecurity Challenge en el 2018. Ahí, mi labor fue capacitar al equipo y afinar sus habilidades técnicas de ciberseguridad para concursar. En dicho evento, conseguimos como equipo que Perú ocupe el segundo puesto en Iberoamérica y el primer puesto en Latinoamérica.
¿Cómo te fue en la Universidad de Lima y qué te pareció tu carrera?
Me fue bastante bien. Creo que en la carrera tuve un muy buen equilibrio de formación entre la parte informática, el pensamiento sistémico y el lado de gestión organizacional. Definitivamente, todas las áreas las he utilizado en mi vida profesional.