Fabián Torres, Director de Desarrollo de Negocio de SICPA: “Hoy ya es posible evitar usurpaciones de identidad en Instagram o WhatsApp”
Ciberataques, falsificación de documentos, robos de identidad, pago con el móvil, plagios de códigos QR… SICPA está especializada en seguridad, tanto física como virtual.
SICPA es una compañía suiza especializada en tintas de seguridad para billetes y documentos sensibles, como de identidad, de transporte o billetes de lotería, por ejemplo. También ofrece soluciones de protección en el ámbito de productos y marcas, y servicios a la industria en términos de autenticación, antirrobo, identificación, etc. Esta multinacional acaba de inaugurar un Centro de Excelencia en Madrid. Nos cuenta más detalles de esta empresa y sus operaciones, Fabián Torres, Director de Desarrollo de Negocio de SICPA.
¿Por qué, siendo una multinacional suiza, apoyan tanto a España creando un Centro de Excelencia en Madrid?
La primera gran transformación de la compañía se produce cuando el Embajador de España en Suiza convence a Maurice Amón, fundador de SICPA, para fabricar tinta de alta seguridad para billetes. De hecho, el primer billete del mundo que se imprime con tintas de alta seguridad es el de 100 pesetas de España. Desde aquel entonces, generación tras generación, la familia Amón siempre ha tenido un especial cariño por España. De ahí que el actual presidente no dudara en poner en marcha, hace ya más de 10 años, el primer centro de competencia de desarrollo de soluciones digitales del grupo fuera de Suiza, en Madrid. La enorme cualificación profesional de los expertos españoles, tener una misma cultura europea y ser altamente competitivos ha permitido que este Centro de Competencia haya ido creciendo y consolidándose como el segundo mayor tras el de Suiza. El área de desarrollo de soluciones del nuevo centro estratégico de excelencia de Madrid cuenta actualmente con nueve equipos de desarrollo y uno de soporte, compuestos por más de 130 personas, con un 21% de mujeres (más de diez puntos por encima de la media mundial), de un total de 14 nacionalidades. Esta área colabora activamente con otros centros del Grupo en Brasil, EEUU, Suiza, Malasia y Rusia, entre otros, y da soporte al desarrollo de soluciones para gobiernos e industrias diversas. Entre ellas, sistemas de conformidad, autenticación, agregación y trazabilidad en multitud de productos (vino, artículos de lujo, tiques de museos, productos agroalimentarios, Oil&Gas, tabaco y alcohol, entre otros).
Además, utilizando tecnologías de vanguardia basadas en blockchain y soluciones de Data Science, maneja importantes volúmenes de datos que permiten estudiar tendencias para desarrollar y perfeccionar soluciones móviles de activación, inspección y verificación. En este momento, el equipo de España trabaja en proyectos de trazabilidad para los gobiernos de Turquía, Georgia, Albania, Marruecos, Kenia, Tanzania, Uganda, Ecuador, Chile, República Dominicana y Malasia.
Además, en el nuevo hub madrileño, un equipo formado por 24 personas es el encargado de dar soporte técnico informático corporativo a todo el Grupo a nivel mundial: Service Desk, Collaborative Solutions, Linux, Windows, etc., con perfiles diversos en DevOps, App Security, Digital Workspace y Fullstack Developers, entre otros.
En la planta de Alcalá de Henares, ¿qué procesos realizan?
Hace más de 50 años que abrimos nuestra primera fábrica de tinta aquí, en Madrid, y, posteriormente, en 2007, continuamos con la apertura de un centro de fabricación que es el único fuera de Suiza que tiene todas las capacidades para fabricar las tintas y los productos de seguridad para los billetes de banco tal y como lo hacemos en nuestra fábrica de tintas de alta seguridad de Chavornay, cerca de Lausana, especialmente para la impresión del euro. Siendo, además, la fábrica de tintas de alta seguridad de Madrid una instalación de respaldo de la fábrica de Suiza.
Un trabajador de una compañía pincha en un link fraudulento de un email que ha recibido e, involuntariamente, ha descargado un virus que puede hacer que se robe información sensible. ¿Cómo se pueden controlar esos ciberataques?
Hoy en día, es esencial la formación de los empleados en buenas prácticas para evitar ser ciberatacados. Las principales brechas de seguridad se encuentran en descuidos de los propios empleados, por ejemplo, al conectar un USB en un equipo, al acceder en una web maliciosa, al pinchar un link en un email, etc. En SICPA prestamos especial atención a este tema y todos los nuevos empleados pasan un estricto plan de formación en este sentido, pues la seguridad de nuestros clientes depende de nuestra propia seguridad. Además, anualmente todos los empleados pasamos un curso de refresco donde se nos muestran las nuevas técnicas que emplean ‘los malos’ para realizar sus ataques. Este año hemos cambiado el formato, haciéndolo mucho más ameno como si fueran capítulos de serie tipo Amazon o Netflix, lo cual ha tenido enorme aceptación entre nuestros empleados.
¿Hay alguna manera de impedir de forma eficaz que alguien te robe la identidad en Instagram o Whatsapp?
Efectivamente, hoy ya es posible evitar estas usurpaciones de identidad. Todo se basa en las nuevas identidades digitales en las que SICPA trabaja desde hace más de 3 años de forma intensa. Hemos desarrollado un programa en EEUU, bajo el paraguas del Silicon Valley Innovation Program (SVIP), para el desarrollo de credenciales verificables para la famosa US Green Card. Ahora estamos desarrollando un programa similar basado en credenciales verificables para la futura identidad digital europea bajo el programa European Self Sovereign Identity Framework Laboratory (eSSIF-Lab). Con el uso de esta futura identidad digital blindada con Blockchain de última generación, a prueba incluso de la computación cuántica, será prácticamente imposible usurpar nuestra identidad. Es más, podremos utilizar esa futura identidad digital descentralizada para poder olvidarnos de todas nuestras contraseñas de acceso a todos los sitios webs. Tendremos un Single-Sign-On al nivel de la futura Internet del Valor donde, en lugar de interaccionar solo con información, podremos llegar a ser capaces de intercambiar activos en forma segura.
Cuando el ciberataque se ha logrado, ¿qué procedimientos hay que seguir para que el hacker no borre información confidencial de la empresa y los trabajadores?
Lo realmente complicado de los ciberataques es detectar cuándo tenemos el virus o el gusano en nuestra instalación en estado de latencia, esperando a ser activado. De ahí, la vital importancia de la prevención y la formación de todo el personal en temas de ciberseguridad a nivel de usuarios de los sistemas. Una vez que se detectan los más leves síntomas del posible ataque, lo mejor es informar rápidamente a los expertos en ciberseguridad para iniciar los procedimientos de ciberdefensa y escalarlo a las autoridades pertinentes, pues estos ciberataques se pueden estar produciendo en otros puntos de la geografía o del planeta, y los sistemas nacionales e internacionales de alerta temprana nos pueden ayudar a su resolución.
¿Es fácil plagiar un código QR? ¿Cómo se consigue un código “inviolable”?
Tenemos desarrollada una tecnología única que permite asegurar códigos QR protegiéndolos con algoritmos de encriptación y tecnologías avanzadas de securización de imágenes que los blindan, pudiéndose detectar cualquier intento de falsificación o manipulación. Es más, estamos trabajando en una nueva generación en la que la capacidad de almacenamiento de estos QR será superior a los actuales del mercado, permitiendo albergar incluso secuenciación biométrica con algoritmos hash.
¿Recomiendan Uds. pagar a través del móvil, con apps o a través de la tarjeta de crédito digital, o nos exponemos a un posible robo de datos?
Con la futura identidad digital descentralizada, que hemos comentado, estaremos verdaderamente seguros. En la actualidad, especialmente con la irrupción en el mercado de los computadores cuánticos, de los que ya aparecen algunos prototipos comerciales y que disponen de algunas decenas de qubits, ya se ponen en peligro las actuales firmas y certificados digitales y la actual securización de las actuales webs será vulnerable, incluso los sitios https, como ya se sabe, rompiendo toda la seguridad de Internet. Por ello, la carrera en las telecomunicaciones y la computación cuántica que se ha iniciado a nivel mundial, y la búsqueda de nuevas identidades digitales descentralizadas seguras para proteger la información. En este último caso, similar a las que desde SICPA hemos desarrollado bajo los programas SVIP (EEUU) y eSSIF-Lab (UE).
Para el pago online de descarga de videojuegos, ¿el código QR es la solución definitiva para evitar el robo de datos financieros?
El código QR no es suficiente si no está blindado con tecnologías como las que hemos desarrollado en SICPA. Además, una segunda prueba de identidad será siempre necesaria utilizando biometría y algoritmos que permitan la detección de vida, como por ejemplo la de ser vivo frente a la cámara y no una foto, y la detección de una posible suplantación de identidad, lo que se conoce en inglés como “liveness and spoof detection”, amén del envío por ejemplo de códigos SMS como prueba de verificación. Evidentemente, el nivel de seguridad de la información o el activo que estemos protegiendo determinará el número y la tolerancia a fallo que permitamos a las medidas de seguridad que queramos implantar a cada caso.
www.sicpa.com