El fallo informático producido el pasado 19 de julio a nivel mundial en muchos de los sistemas equipados por Microsoft puso en jaque desde el poder pagar con tarjeta, hasta paralizar el servicio aéreo de países enteros. Cientos de compañías estuvieron afectadas por lo que, en principio, resultó ser un fallo en la actualización de CrowdStrike. De ahí que David Fernández, CEO de Cipher –división de ciberseguridad de Prosegur– insista en la importancia de no fiar todo el sistema tecnológico a un solo proveedor. Él llegó en septiembre de hace dos años, cuando la IA aún sonaba lejos en el entorno mediático, y ahora es un 'debe' en todas las firmas.
Después del suceso de CrowdStrike, el foco se puso en empresas de ciberseguridad. ¿Cómo se diferencian del resto?
El mercado de la ciberseguridad es uno de los más particulares a día de hoy, porque vive en una burbuja en el que el personal disponible es escaso y el trabajador tiene un poder de negociación enorme. A pesar de ello, en general el sector crece a un ritmo de un 15% anual, pero es cierto que todos ofrecemos una gama de servicios muy parecida. Por ello, nosotros lo que intentamos es diversificarnos y, además de apostar por el talento, lo hacemos por nuestra plataforma, que es de creación propia, lo que también atrae a más perfiles. También creo que es importante que nosotros somos una empresa nacional, con toda la ganancia en soberanía que eso supone para la empresa que nos contrata.
¿Cuál es la clave para que algo así no pase de nuevo?
Lo primordial es diversificar los proveedores tecnológicos. Es una recomendación que venimos haciendo durante mucho tiempo a todas las empresas, que siguen optando por contratar a un solo distribuidor porque sale mucho más barato y no hace falta generar ninguna sinergia. Pero no tienen en cuenta el riesgo que supone, y prueba de ello fue lo que pasó con CrowdStrike. Nuestra tecnología xMDR funciona como paraguas, ya que hace a las tecnologías que se utilicen agnósticas. Ahí va, por tanto, una diversificación implícita, por lo que un fallo así sería difícilmente repetible con Cipher.
Uno de los grandes problemas de España en cuanto a ciberataques es su tejido empresarial: hay muchas pymes con poco presupuesto para contratar estas tecnologías. ¿Tiene cabida su solución aquí?
Por supuesto que sí. Es cierto que las pymes no se pueden permitir pagar una tarifa tan grande como lo hace una gran empresa, pero porque tampoco necesita un sistema de protección tan grande. Esto no significa que no lo requiera, porque la gran mayoría de las pequeñas empresas consumen servicios de IT: ya sea en servicios de nómina, de contabilidad... Nuestra estrategia es la misma que la de las grandes compañías de servicios TIC, paquetizando nuestra plataforma y que tenga un precio ajustado a las necesidades. En Estados Unidos ya hemos llegado a acuerdos con varias franquicias de este tipo.
¿Cuándo cree que las pymes empezarán a adquirir esa cultura de ciberseguridad?
Cuando las ataquen. Mientras los ciberdelincuentes se sigan centrando en las grandes empresas no tendrán esa necesidad imperiosa. Esto es así porque a mayor tamaño de la compañía, más frentes abiertos hay y más posibilidades de que el sistema se resquebraje en un punto. Cuando este segmento no sea tan atractivo, irán a por empresas más pequeñas, pero ahora mismo la siniestralidad no es muy alta, o al menos no las consecuencias del ataque. Este mismo fenómeno sucedió con los particulares y los antivirus: al principio nadie le daba importancia, hasta que un día no puedes acceder a las fotos que tenías guardadas en el dispositivo, porque están encriptadas y el ciberdelincuente te reclama una cantidad para devolvértelas. Ahí se concienció todo el mundo. También la nueva normativa, que aboga por asegurar la cadena de suministro, hará que permee más en la pequeña empresa, porque la responsabilidad pasará al contratista principal, generalmente las grandes compañías.
Hablando de normativas, la Ley de Inteligencia Artificial lleva apenas diez días en vigor. ¿Cómo les afectará?
De IA se lleva hablando poco tiempo, aunque realmente porque ha pasado "por otros nombres". Pero los ciberdelincuentes llevan años usándola para robar datos y extorsionar. Esta nueva regulación era, por tanto, complicada, porque para intentar parar los pies a la criminalidad no podíamos ir por detrás en cuanto a las armas a utilizar contra ellos. Aquí la regulación sin duda ha estado acertada. Luego, esta nueva ley también atañe mucho en la privacidad de los usuarios, y la importancia de un buen entrenamiento de la tecnología y su supervisión.
¿Cómo aseguran que sus soluciones están adaptadas para cubrir las legislaciones de cada país?
Nosotros tenemos centros de operaciones en EEUU, Brasil, Portugal, Paraguay y España. En el pasado, muchos competidores se iban a países de bajo coste para implementar sus soluciones desde allí, pero no creemos que esa sea la solución a pesar de que seamos menos competitivos en precio. Con estos países ya tenemos suficiente expansión internacional por el momento, y si se abre una oportunidad en otro sitio, como es el caso de Andorra, operamos mediante alianzas.
¿Cuál diría que es su target?
A nivel de clientes, a través de los MSP (empresas externas con responsabilidades diarias), cualquier tipo de cliente, incluso pymes. Si se trata de ofrecer nuestra plataforma, el objetivo son empresas a partir de 250 trabajadores.
¿Cuáles son sus objetivos para los próximos años?
Nos hemos fijado unos ratios de crecimiento muy exigentes, del 40% de incremento de facturación este año y el que viene. Además, queremos que la plataforma y los servicios recurrentes, que constituían un 39% del total, cierre 2025 con un peso del 53%.