Repensar la ciberseguridad: de la conciencia al empoderamiento

00:00

Entonces, de nuevo, otro episodio de El Segmento. Esta vez, estoy súper emocionado de darle la bienvenida a Kyla Guru. Ella tiene el trasfondo más increíble y la historia increíble. Entonces, sin más preámbulos, quiero entrar directamente en eso. Kyla, bienvenida a El Segmento.

00:19

Gracias. Gracias, Raghu. Y gracias por tenerme, Illumio.

00:23

Es un placer tenerte en este podcast. Y quiero decir, normalmente, tenemos una pequeña intro que genero sobre nuestro invitado, pero creo que solo tú podrías hacerle justicia. Entonces, cuéntanos sobre tus antecedentes. Voy a dejar la pregunta en eso.

00:42

Sí, puedo llevarte de vuelta a donde empezó todo. Entonces, soy Kyla, y ahora mismo soy estudiante en la Universidad de Stanford. Estudié Ciencias de la Computación y Relaciones Internacionales. Y ahora soy estudiante de maestría. Pero en el pasado, cuando tenía 14 años, fue entonces cuando realmente comenzó mi viaje en el ciberespacio. Estaba ingresando a la preparatoria, creo que era el comienzo mismo del primer año. Y empezaba a interesarme por la ciberseguridad. Hago un par de campamentos de verano en ciber. Yo solo, me interesé súper, y solo busqué en Google campamentos de verano cerca de mí en cyber. Y encontré el más cercano, y me fui a él. Y a partir de eso eso es realmente lo que dio inicio a este viaje más grande. Y el viaje como que llegó, cuando regresé del campamento de verano, me di cuenta de que estas eran lecciones que aprendí que no solo estaban aisladas o que no deberían estar aisladas a una semana de aprendizaje en un campamento de verano. Me pareció que este es el tipo de conocimiento común que la gente debería tener en mente mientras van por internet. Y realmente fue solo ese pensamiento que se me ocurrió, y desde entonces comencé a mirar, bien, cómo podemos educar realmente a las personas sobre este tipo de amenazas cibernéticas, estos riesgos cibernéticos en sus propias vidas y empoderarlos para que sientan que cuando están en Internet pueden ejercer sus habilidades que han aprendido. Entonces, busqué los programas de educación cibernética existentes en mi área y las ONG (organizaciones no gubernamentales) que existían. Y en su momento, muchas de las cosas que vi en línea eran muy reactivas y no educaban proactivamente a los individuos, solo por el bien de educarlos. Y cuando platiqué con mi CIO local y CISO de mi barrio, también mencionaron que muchos de los esfuerzos que tomaron fueron reactivos. Y ahí fue cuando estaba como, bien, tal vez es hora de que alguien haga algo un poco más en el lado proactivo. Entonces, comencé a ver cómo podría poner en marcha un programa de educación cibernética a un nivel muy local, simplemente ir en bicicleta a mi escuela primaria local y proporcionarles lecciones de 5 o 10 minutos cada vez que los niños eran gratis. Y eso realmente se convirtió en una bola de nieve en lo que es ahora, BitsnBytes Educación Ciberseguridad sin fines de lucro. Es decir, me complace decir que es una organización internacional sin fines de lucro que se dedica a trabajar en educación cibernética y hacer que la educación cibernética sea más accesible para todas las poblaciones en todos los ámbitos. En pocas palabras, es que llevo liderando estos esfuerzos educativos desde hace bastante tiempo casi ocho años. Y yo en el camino, también inicié una conferencia de tecnología femenina llamada GirlCon conference. Eso fue porque de alguna manera me di cuenta, como, cada vez que iba a estas salas de ciberprofesionales, había un desequilibrio discablante entre los hombres y mujeres en la sala. Y el desequilibrio de género fue bastante prominente, especialmente en las habitaciones ya que escalé los niveles y fui a niveles como niveles de junta o conversaciones de nivel C de CEO. Noté solo esto como un cambio muy chocante. Entonces, a partir de entonces comencé una conferencia de tecnología femenina. Entonces eso también se está ejecutando hoy. Acabamos de tener nuestro séptimo evento anual, así que seguimos creciendo en la comunidad, y yo personalmente sigo creciendo como líder y aprendiz. Tan emocionante viaje.

04:15

Bien, solo, estoy asombro de todo eso. Así que déjeme tomarme un momento para dejar que eso se hunda. Quiero volver, porque quiero explorar mucho de lo que acabas de decir con un poco más de detalle. Pero volvamos al 14 y dijiste que te interesaba el cibernético. Entonces, tengo hijos pequeños y mi y nuestro mayor no es mucho menor que 14. Y no le interesa particularmente el cibernético. Entonces, ¿qué te enganchó, como lo que te atrajo de ello?

04:50

Sí, esa es una gran pregunta. Creo que honestamente fueron estas conversaciones de cena las que tendría mi familia. Y mi papá solía ser investigador de fraudes en Canadá. No es un ciberprofesional, pero sí contador por oficio, por formación. Y solo por eso, está al tanto de cosas como el fraude monetario y los delitos financieros. Entonces, solía empezar a hablar de estas cosas y un día me llevó a uno de sus eventos profesionales donde traían a un conferencista y el orador era un ex delincuente financiero, y como que estaba discutiendo su forma de trabajar y por qué hacía lo que hacía. Y estaba informando a todos bajo una sala de contadores sobre bien, así es como haces la debida diligencia y haces auditorías para la próxima vez. Eso como, fueron conversaciones así, eso me hizo inicialmente un poco interesarme, ¿qué es este espacio? ¿Quiénes son las personas que tratan de defenderse de estas cosas y entienden a estos, a estos individuos? Y realmente creo que podría haber ido por el otro lado donde no me interesaba el ciberespacio, pero era algo sobre ese primer campamento que hice en GEnCyber. Y creo que una parte de ello fue que nos acaban de mostrar profesores, por ejemplo, profesores que estaban haciendo forense digital y profesores que están viendo la psicología detrás de los ciberdelincuentes, solo partes muy chulas y simplemente me pareció muy interdisciplinario. Como si no necesitaras ser solo un profesional de las ciencias de la computación para entender este campo o ser un experto en este campo. Y eso fue emocionante que fuera parecía un poco de todo. Y, si, pero creo que, varía para todos. Yo diría como, tal vez tener niños viendo más como películas, como las películas de espías también ayuda. Oh, una de las cosas que hacía cuando era más joven, era ver el programa llamado The Arrow. Y en The Arrow, hay una mujer hacker que ayuda al superhéroe. Y ella es una especie de salvadora subterránea que salva el día haciendo todo lo poco como logística, como ir aquí, etiquetar a este hombre, como cosas así. Y así vi a Felicity Smoke, y realmente pude verme a mí mismo como si esa fuera la primera vez que pude verme representada a través de un medio de comunicación. Y ahí fue cuando estaba como, Bien, tal vez esto es algo que realmente podría hacer. Y esto sería muy, muy genial. Entonces eso, eso también es parte de ello, creo.

07:22

Creo, definitivamente, creo que al ciberle vendría bien mucho más, la imagen de ser cool. De una manera que hasta cierto punto, una especie de cultura startup ha hecho que convertirse en desarrollador sea genial, ¿verdad? Lo cual definitivamente no era una profesión genial hace 30 años. Pero ahora es como que todo el mundo quiere ser, quiere ser desarrollador. Eso es, eso es increíble. Entonces, y luego hablaste de cómo te caías y hablaste con el CISO, o el CIO de tu local, tu comunidad local. Y su reacción fue mucho sobre la educación cibernética. Cómo hablamos del ciber-es muy, muy reactivo. Entonces, pasa algo malo y luego reaccionamos a ello y decimos: “oh, como que evitemos esto en el futuro”, usemos contraseñas, como ejemplo. Sí. No uses el nombre de tu mascota como contraseña, bien, ve y cámbialo, y etcétera. Entonces, ¿cuáles fueron las cosas que empezaste a introducir que, que se pusieron en ese tipo de enfoque proactivo de la educación cibernética?

08:28

Sí, e inicialmente, fue, empezó súper pequeño, ¿verdad? A lo que la escuela accedió, y obviamente a lo largo de este camino, fue una asociación con esta primera escuela y la escuela como que tenía que estar de acuerdo cuando me propuse algunas cosas. Entonces, lo primero fue un video informativo de cinco minutos que fue animado para los estudiantes. Y así, hice este video, creo que estaba encendido como este software de animación muy antiguo que fui a las escuelas estaban presentes. Y fue esa como, reacción a la presentación que creo que arrancó mucho más dominó. Al igual que la primera reacción, los estudiantes simplemente estaban muy comprometidos, interactuando, haciendo preguntas como, “¿de qué tipo de contraseñas estás hablando?” “Debería importarme mi contraseña de correo electrónico; tengo una cuenta de correo electrónico con la escuela”, como preguntas de pensamiento muy crítico. Se notaba que estaban empezando a pensar en cómo encajaba la seguridad en sus vidas. Y ahí fue cuando estaba como, bien, ya sabes, tal vez esto podría ser algo que sea relevante para otras escuelas, como no solo estos estudiantes de mi propia comunidad. Porque mi comunidad estaba bastante inclinada hacia adelante, como si tuviéramos Chromebooks y dispositivos, uno a uno para los estudiantes. Y simplemente imaginé, como, todas las diferentes comunidades en el espectro de accesibilidad tecnológica. Me imaginé que si no estamos haciendo mucha educación cibernética, entonces no puedo imaginar, ya sabes, en términos generales cómo es la educación cibernética. Entonces, en ese momento, no teníamos una estandarización K12, un plan de estudios estándar para el ciberespacio. Entonces eso fue lo que lo arrancó. Y luego a partir de entonces empecé un sitio web; empecé a sacar más recursos. Realmente fue el primer dominó, diría yo.

10:11

Y yo diría que la educación cibernética es tan importante. Y en el mundo corporativo, como toda organización, grande y pequeña, tiene algún tipo de capacitación en concientización de seguridad, cierto, que se prueba anualmente. Y es genial. Y lo he visto en las escuelas de mis hijos, donde, desde muy joven, se habla de estar seguro en línea ser seguro en línea. Pero mi pregunta es siempre, y la conciencia es muy importante. Pero, ¿cómo medimos el impacto de eso? Entonces sí, todos sabemos que, como, deberíamos tener contraseñas seguras, por ejemplo, o en este caso, como que hablamos de, como, pasar a frases de paso, o incluso con listas de contraseñas, lo cual es un gran movimiento en este momento. Pero, ¿cómo estamos midiendo la efectividad de la conciencia? ¿Y cómo sabemos que realmente está teniendo un impacto y mejorando la ciberseguridad?

11:09

El impacto es difícil de medir. Es, probablemente, la pregunta más difícil con la que también lidian las ONG y las organizaciones sin fines de lucro, es, ¿cómo sabes que lo que estás educando realmente no sucede? Porque la medida definitiva del éxito es una reducción de la ciberdelincuencia o la reducción de las amenazas cibernéticas. Y eso es incluso para la gente de la industria, eso es algo muy difícil de medir. Entonces, yo diría, un par de formas en que mitigamos es decir, tenemos mediciones inmediatas. Entonces, mediciones a corto plazo, por ejemplo, enviamos una encuesta justo después de nuestros programas, y eso captura gran parte de lo inmediato, como, ¿te sientes más seguro después de la sesión? Sí nos gusta ver más de este contenido, ese tipo de reacción inmediata. Y luego también, en eso les hacemos preguntas que están llegando como, ¿qué aprendieron realmente a través de la sesión? A veces hacemos alguna opción múltiple para simplemente ver, ¿están captando el contenido y están teniendo conciencia de ello? Y luego también hacemos una especie de programación a largo plazo donde podemos ver a los estudiantes varias veces o vemos estudiantes el próximo año, el siguiente año, y también vemos, bien, como estudios longitudinales de como, si se sienten como, son más propensos a entrar en el ciberespacio debido a estos programas. Y esa parte es, como, a través de medidas cualitativas y cuantitativas. Como platicar con ellos y platicar con ellos sobre cómo ha sido su año en qué es lo que les ha impactado BitsnBytes. Y luego también cuantitativamente a través de esas encuestas. Entonces, es un poco de ambos, yo diría, en general, mucho del impacto para las ONG en términos generales. Y para BitsnBytes es a través de las narrativas e historias que comparten los alumnos. Y muchos de ellos han sido realmente poderosos. Por ejemplo, estudiantes que han podido obtener oportunidades de sombreado en función de las conferencias que organizamos en los eventos que organizamos. Y luego también hemos tenido estudiantes que comparten que su hermana había experimentado como una estafa similar o un dato similar, como situación de violación de datos, y finalmente entendieron qué sucedió exactamente durante la sesión. Como que compartirán ese tipo de historias como cosas como en la encuesta también. Y esos son realmente interesantes de leer, porque te hacen sentir que en realidad han conectado algo. Y sí, creo que el impacto real, final o la visión sería que, ya sabes, 5-10 años después, cuando estas personas ingresan a la industria, son profesionales altamente orientados a la seguridad.

13:53

Sí, absolutamente. Derecha. Y, y creo que lo que dijo al inicio de ese segmento en particular, en torno a medir el impacto de cualquiera de estos programas es difícil. Podemos medir la asistencia, podemos medir la participación en el programa, que son todas medidas importantes, pero entonces realmente medir si hemos mejorado nuestro resultado de clústeres de ciberseguridad es realmente difícil. Y ves los datos y miras la cantidad de ciberataques que tuvieron éxito. Y ese número o incluso número de ciberataques intentados. Ese número solo está subiendo y subiendo y subiendo. ¿Correcto? Definitivamente no es tendencia a la baja. Y luego miras cuál fue el tipo de vector de ataque inicial, ese tipo inicial de ola de intrusión y casi siempre es algún tipo de ataque de ingeniería social de phishing, un correo electrónico de phishing. Y recuerdo una pegatina en el escritorio de mi ex gerente, y lo que decía era: “No hay parche para la estupidez humana”. Y como que pienso en eso, cuando pienso en ciberseguridad es que siempre estamos casi lo que estamos haciendo en muchos sentidos es esencialmente construir controles que mitiguen lo que un humano hará en última instancia. ¿Correcto? No por no porque pretendan hacerlo, sino muchas veces por ignorancia. Entonces, como sé toda la conciencia que están trayendo programas como el tuyo es importante subir de nivel que solo estoy bromeando con ese tipo de estupidez humana. Pero como, ¿cuál es el impacto que has visto?

15:41

Sí, gran pregunta. Y es decir, me siento como una mentalidad muy común en seguridad, creo que en realidad ha habido como, trabajos y estudios realizados en torno a ello, especialmente en el campo del diseño de cuándo culpamos al usuario versus cuándo culpamos al diseñador. Y creo que inseguridad, existe esta mentalidad de que, como, estamos haciendo nuestro mejor esfuerzo, como, todo está en el usuario final, ya sabes, después de desarrollarlo, está fuera de nuestras manos. Y ellos, ellos son los que hacen clic en los enlaces y hacen todas estas cosas. Pero al final del día, como incluso los desarrolladores son humanos. Y algunas de estas amenazas y ataques son, si los miras, se están volviendo tan reales, y se sienten tan emocionales. Y ese es el punto de ellos, ¿verdad? Están tratando de estimularte emocionalmente, de tal manera que haces algo que normalmente no harías. Y como humanos, como, todos tenemos esa tendencia. Y es como, creo, especialmente con esta generación, ya somos un poco conocedores de ello, hemos crecido alrededor de estas amenazas, sabemos sobre los espeluznantes DMers de Instagram, eso es como la parte de atrás de nuestras manos en este momento. Es solo cuestión de, ponerle nombre a esas situaciones. Y enseñarlo como si, en realidad se trata de una cuestión de seguridad nacional. Al igual que tú, en realidad eres parte de todo este círculo de seguridad que tenemos. Y entonces creo que esa es la pieza más grande es la pieza de empoderamiento. Se trata menos de lo que pienso, de la conciencia, me parece, como que viene realmente fácil, porque casi ya están conscientes. Se trata más de empoderarlos para que sepan, como, así es como responder a tus preguntas. Muchos de ellos tienen un montón de preguntas que solo necesitan respuesta, como, ¿cómo es, ya sabes, qué significa realmente esta política de privacidad al final del día? ¿O qué está haciendo Snapchat con mis datos? Por ejemplo, ¿lo hospeda en, en el dispositivo o en servidores? Al igual que tienen preguntas complicadas que incluso los desarrolladores, ya sabes, serían como, pensarlo dos veces, como pensar de nuevo, para responder. Entonces, supongo que es un largo camino para decir que el empoderamiento es realmente importante, incluso más allá de la conciencia. Y me parece que, me asombran constantemente cosas que los estudiantes y los niños saben, así que me hace muy fácil el trabajo ya que voy a hablar de seguridad, porque muchas veces ellos crean la conversación ya por tantas preguntas.

18:03

Eso es increíble. Entonces, quiero explorar eso, ese elemento humano y la ciberseguridad un poco más, porque una de las tendencias que estamos viendo en el ciberespacio dentro de las organizaciones en cuanto a las estrategias que están adoptando las organizaciones. Es uno alrededor de uno alrededor de Zero Trust. Y, y específicamente, y por Zero Trust, no nos referimos a eliminar la confianza por completo, porque si ese fuera el caso entonces bien podrías desconectar todo de la red y listo. Derecha. Entonces, se trata de eliminar una especie de confianza implícita, disponible gratuitamente, pero luego en el lado humano, gran parte de lo que hacemos en el día a día depende de la confianza implícita. Derecha. Y, y he, lo sé, he tenido conversaciones, y esto es particularmente sensible en geografías particulares donde solo escuchar la palabra Zero Trust causa ofensa porque, oh, ¿cómo puede ser eso? ¿Correcto? Significa que no confías en mí como usuario. Y no confías en lo que hago. ¿Cómo y puede que no hayas tenido conversaciones específicamente en torno a Zero Trust, pero cómo equilibras eso en, en los programas educativos alrededor no tienes tanta confianza implícita con lo que haces en línea? Pero eso no significa que comprometas tu capacidad de confiar en las personas.

19:25

Sí, siento que Zero Trust es complicado por esa razón. Es porque no quieres dar la noción de que no debes confiar completamente en los demás o que no deberías, que no debes confiar en ti mismo en línea. Es más una nota menos empoderante. Creo, como confiar pero verificar es una buena postura que suelo enseñar en términos de desinformación y guerra de información. Es como que la verificación es increíblemente importante. Y luego también, creo que solo cambiar la terminología para que sea como, sí, Zero Trust es increíblemente importante, pero es andamiado. Dentro de éstas, como muchas cosas, hay una razón por la que no confiamos de inmediato. Y ahí están estos, todos estos casos de estudio para cuando confiábamos de inmediato. Y como andamiarlo dentro de una lección mayor para luego marcarlo como Zero Trust. Como, creo que Zero Trust es una declaración cargada. No es solo nada, no hay confianza en absoluto. Es confianza pero verificar es generalmente la idea detrás de ello, solo decimos Cero Confianza porque eso te hace sentir como, bien tengo que empezar a nivel del suelo. Pero creo que en términos de un aspecto educativo, conocer a los estudiantes donde están, y traerles estos estudios de caso, o estas instancias de como, esto es lo que entendemos por Zero Trust. Porque en ese momento, es posible que no hayan visto el caso de uso del mundo real como Zero Trust en términos de autenticación o dar privilegios a la gente. Entonces, dándoles ejemplos que lo hagan sentir más real. Definitivamente es una de las mitigaciones a eso.

21:12

Sí, realmente me gusta lo que dijiste ahí sobre comenzar a nivel del suelo, y luego construir los andamios, ¿verdad? Es, es de nuevo, y lo haces tú lo haces muy real, porque digamos que estás conociendo a un extraño, ¿verdad? No asocias, como no asocias necesariamente un alto nivel de confianza, hasta que hayas validado como quiénes son, etcétera. Y múltiples factores. Si ha sido, si has estado conectado a través de un amigo, entonces hay cierto nivel de ok, hay algún nivel de verificación inicial que se ha hecho para subir eso un poco. Versus, digamos, alguien a quien quizás acabas de conectar en LinkedIn, pero no hay una especie de referencia realmente formal, o validación. Es como, es algo así, bien, tal vez estoy un poco más abajo. Y creo que esto es y aplicando ese mismo principio a la forma en que se trata con la tecnología y los sistemas. Sí, ese mismo enfoque de sentido común, porque en última instancia, llegas a un punto donde dices, has establecido suficiente validación como para decir, bien, puedo confiar en esta persona o esta tecnología tecnológica hasta cierto punto. Y creo que, sí, la base en ese sentido común es absolutamente correcta.

22:22

Sí, absolutamente. Eso me encanta. Como, creo que duplicar todas las cosas digitalmente, físicamente, siempre ayuda con la educación, porque la gente generalmente entiende como, bien, tengo que cerrar mi auto antes de irme, o tengo que cerrar la puerta antes de dormir. Al igual que esos son elementos muy importantes para nosotros, como valores que mantenemos cerca. Pero solo traducir eso al cibernético es esa pieza clave de educación que, “Oh, esto es lo mismo digitalmente”. Imagínese si alguien tuviera acceso a su ubicación física, o sus coordenadas GPS que cada vez como, ese es el tipo de mentalidad que debería tener en términos de pensar en su modelo de amenaza.

23:01

Eso es, eso es una gran cosa. Pasemos al modelado de amenazas en un segundo. Pero esa analogía, creo, es realmente importante es que para tus propias cosas preciosas, objetos físicos que quieres proteger, eres muy, muy cauteloso, ¿verdad? Cerras tus puertas, te pueden poner, así que digamos cosas preciosas en una caja fuerte, o las pones en una caja de seguridad en una caja fuerte o algo así, ¿verdad? Así que. Pero cuando se trata de cómo interactuamos en línea, es casi como que lo que queremos es facilidad de uso, facilidad de acceso, y poder hacer algo rápidamente solo porque es en línea y es electrónico. Las barreras para hacer para ser productivo, de repente parecen necesitar ser reducidas. Y creo que necesitamos, de nuevo, aplicar ese mismo nivel de tipo de inspección y cuidado que haríamos a los objetos físicos.

23:52

Sí. Y creo que no es solo cosa de usuario. Creo que Internet fue casi diseñado de tal manera que hay esta compensación, o esta aparente compensación entre conveniencia y seguridad. Si. Y es que a veces ni siquiera es solo una decisión del usuario. Y hacemos que sea realmente difícil como diseñadores incentivar al usuario a elegir estar seguro. Entonces, creo que lo que estoy viendo ahora es que me están gustando todos estos movimientos hacia construir en seguridad o hornear en seguridad en el producto. Para que el usuario o a ni siquiera tenga que pensar en la seguridad, o la seguridad es algo que puede activar y desactivar como o alternar, como una configuración loca, como bloqueada para como, oh, solo seguro por defecto. Como, no sé si has mirado el modo de bloqueo de Apple, pero es que los productos de Apple son obviamente seguros por diseño, pero tienen una capa adicional de seguridad si eres un individuo de alto riesgo. Entonces, son diseños así, que realmente empujan la aguja hacia adelante en términos de que el usuario ni siquiera tiene que tomar esa decisión al final del día, que es en seguridad física cuando estamos cerrando puertas o bloqueando autos. Cuando estamos haciendo como ese análisis costo-beneficio, el cálculo tiene sentido en nuestra cabeza, como si no estuviéramos perdiendo nada al tomar precauciones adicionales. Y creo que así es como deberíamos intentar construir dispositivos en internet productos dispositivos que los usuarios están usando, es pensar en la seguridad como algo que no debería tener que dejar nada más atrás.

25:26

Correcto, y es de segunda naturaleza. Y solo volviendo a la analogía de tu auto, cuando te alejas de tu auto, no dices, “en realidad, no me puedo molestar en bloquear el auto” porque eso es un clic de botón más. ¿Verdad? Sí, solo hazlo, tú, inconscientemente lo haces. Pero solo quiero ir a que comenzara hablando sobre la seguridad por diseño y la incorporación de la seguridad en el ciclo de vida del desarrollo del producto. Derecha. Y creo que esto es un esto es una evolución interesante. Porque si nosotros, si pensamos en una especie de históricamente, la función de seguridad y el papel que ha jugado la seguridad, y de nuevo, como simplificarla de manera significativa. Mucho durante mucho tiempo, y todavía es en gran parte hoy en día, la seguridad juega el papel de ser una función de aprobación. Entonces es como, vienes y pregúntale al equipo de seguridad, ¿puedo hacer algo? Y dicen sí o no. Y muchas veces llegas a ellos, una vez que llegas al final de lo que sea que sea que estés construyendo, y luego quieres el “¿Puedes bendecirlo, por favor?” ¿Verdad? Mientras que creo que si, y ese es siempre el reto, entonces digamos Seguridad dice que no, ¿verdad? Y luego dices, oh, entonces vuelves a eso que realmente obstaculiza la productividad? O Seguridad dice: Bueno, no. Y aquí están todos tus riesgos. Y dices: “Bueno, bien, bien, voy a aceptar el riesgo, ¿verdad?” Porque necesito ser productivo, y tú sacas algo, eso es inseguro. Pero creo que lo que estás diciendo lo que dijiste sobre incorporar la seguridad en el, en el proceso mucho temprano, diría casi al principio, hacer que la seguridad y el aseguramiento funcionen. Entonces, lo que significa que debido a que ya ha incorporado la seguridad en todo el proceso de diseño y compilación, cuando implementa algo, sabe que es seguro. Entonces eso y es casi como si lo implemente de nuevo en el mismo patrón, sé que va a ser seguro. Porque solo yo sólo puedo hacer cosas que son seguras. Creo que ese es el cambio cultural más amplio hacia el que como que necesitamos empujar.

27:26

Sí, no, me encanta eso. Creo que una vez tuve un profesor que dijo, esta cita que siempre he recordado en esto en este contexto, es él dijo, “la seguridad siempre se piensa como parte de la plomería, pero la seguridad realmente tiene que pensarse como parte del problema, y parte de la declaración inicial del problema”. Entonces, no es solo cómo podemos hacer esto, sino ¿cómo podemos hacerlo de manera segura? Y cómo podemos mantener a nuestros usuarios seguros y protegidos. Entonces, creo que cuando miro hacia buenas prácticas de diseño y buenos valores de diseño, creo que eso va a ser algo por lo que los clientes responsabilizan a las empresas. Y creo que se ve ese tipo de a través de los productos Apple en lo que hacen y viven y respiran, pero también a través de muchas soluciones de diseño diferentes ahora. Al igual que especialmente las aplicaciones de dos factores que hacen que sea súper fácil para ti hacer dos factores sin siquiera pensar como si acabas de abrir la aplicación, y ya te verifica. Y ese es el tipo de cambios de diseño que creo, son seguros y seguros a la vez. Pero también están bien diseñados, muy convenientes, fáciles de usar, de aspecto hermoso. Entonces eso es creo que esa es la próxima generación de, de diseño y seguridad. Y realmente deseo que más escuelas que enseñan diseño, tengan algún tipo de clase para diseñar para seguridad y protección. Porque voy a decir como, incluso en un programa de CS en mi escuela, como que tienes que construir tu propio camino y averiguar exactamente cómo voy a aprender sobre esto en un aula para que tenga las habilidades requeridas. Hay todo tipo de otras clases como diseñar para la accesibilidad y diseñar para el diseño de juegos, pero creo que diseñar para la seguridad es realmente la próxima generación.

29:14

Absolutamente También es bueno saber que en 25 años, los cursos de informática, mientras continúan impartiendo clases de seguridad, aún no han incorporado completamente la seguridad en todos los aspectos del curso. Y es en gran medida una disciplina independiente, independiente.

29:33

Sí, podría continuar con esto para siempre. Y esto siempre me hace querer convertirme en un formulador de políticas para cambiar este hecho. Pero hay alguna estadística loca por ahí que dice que de los 14 principales programas de informática en el país, solo uno de esos programas requiere que los desarrolladores tomen una clase de seguridad. En las otras escuelas, la mía incluida, la seguridad no es una clase obligatoria, puedes tomarla si quieres aprender más al respecto. Pero muchas veces puedes graduarte sin haber tomado uno en absoluto.

30:09

Sí, y eso es bajo alguien que ha trabajado en el ciberespacio desde hace casi 20 años. Y solo pensando en el número de egresados que están saliendo con ganas de ingresar a la tecnología en cualquier industria, pero esencialmente, en tecnología y desarrollar productos increíbles. El hecho de que no necesariamente tengan una sólida formación en el ciberespacio, no estoy diciendo que sean expertos, sino conciencia y así, eso suena como habilidades clave, lo cual va a ser importante para su rol. Eso da bastante miedo, porque, de nuevo, se remonta a lo que es lo que son esas cosas que somos que estamos desarrollando, y usando y más o menos la seguridad que no es la conexión a tierra. Y lo sé, las organizaciones ponen mucho esfuerzo en una especie de suplir eso. Pero es, es que se siente como de la misma manera que estás, estás abordando el reto de la educación cibernética a una edad tan temprana en una especie de escuela, la edad escolar, que esto es algo que en la educación superior, es algo que podría abordarse con bastante facilidad, y es bastante esencial. Si estamos diciendo que todo el mundo necesita poder aprender a codificar, porque es esencial para cualquier trabajo que vayan a realizar. Bueno, vamos, asegurémonos de que puedan codificar de forma segura

31:29

Sí, sí creo que eso va a ser un cambio masivo en el sistema educativo. Y realmente espero que suceda. Y eso, creo que sacamos a relucir las herramientas adecuadas. Al igual que creo que hay bastantes startups y empresas emergentes trabajando en cómo conseguir herramientas a los desarrolladores, de tal manera que hace que la seguridad, como realmente sea fácil de entender, como, sobre todo en documentación que no conoces tan bien. Entonces creo que con las herramientas adecuadas, y con la base correcta de educación, y solo teniendo como un mero interés, y como querer saber sobre esto, creo que se remonta a lo que originalmente se decía de como, los desarrolladores no tienen el estereotipo o esta perspectiva de que la gente de seguridad siempre va a entrar y decir: “No puedes hacer eso, lo siento”. Como si no pudieras gustarte no puedes desarrollar, no puedes. Esa es generalmente la sensación que tiene la gente, especialmente con toda esta revolución de IA, que, oh, si traigo personal de seguridad, o si me vuelvo con mentalidad de seguridad, como tal vez no voy a desarrollarme tan rápido, no voy a innovar tan rápido. Pero creo derribar ese estereotipo de que puedes estar desarrollando igual de rápido, pero también con la seguridad en mente. Y hay tantos ejemplos de eso. Esa es realmente la pieza clave.

32:50

Sí, absolutamente. Y creo que una parte de ello obviamente está cambiando eso, esa mentalidad, y, y como que realmente hacer y esta es la más antigua, esto es mucho sobre la industria de ciberseguridad, es hacerte socio. ¿Correcto? Hagan ustedes mismos, no sientan que tienen que ser esta policía sí/no. Pero mucho más sobre un socio, porque eso es lo que va a impulsar más compromiso y más adopción. Pero también, creo que la tarea también está en juego como los proveedores de seguridad, aquellos que desarrollan productos de seguridad y tecnologías de seguridad para que sean lo más fáciles de aprovechar como sea posible por quienes están creando aplicaciones por parte del usuario final. Para que adoptar la seguridad se convierta en una alegría. Quiero decir, veo tu punto, ¿verdad? Estamos tan obsesionados con la experiencia del usuario. Es muy importante si estás diseñando un producto de consumo, y la experiencia del usuario es pobre, ¿verdad? Ese producto no va a ir muy lejos. Correcto, va a conseguir que lo masacen. Por lo tanto, deberíamos adoptar el mismo enfoque para los productos de seguridad, que bien, tal vez productos empresariales, tal vez productos para el usuario final, pero hagamos que la seguridad sea un placer de adoptar.

34:10

Sí, y también más fácil de adoptar. Creo que una de las cosas con las que me cuesta a veces es asesorar cuando vienen pequeñas y medianas empresas y dicen: “Oh, estamos buscando un producto de seguridad”, como si quisieran estar seguros o adoptar algo. Hay tantas herramientas ahí fuera. Que es difícil de analizar ahora como bien, ¿qué exactamente, como qué estás haciendo realmente? Entonces creo que hay, creo que solo obtener una comprensión general de la comunicación de tu producto, de acuerdo a lo que hace, y luego a quién quieres servir. Eso también es una gran cosa porque hay tantos productos por ahí en este momento.

34:56

Entonces, quiero hablar de IA contigo por un tiempo, pero quiero decir, no eres solo un educador cibernético, ¿verdad? No eres solo alguien que está enfocado en crear conciencia; también eres un cazador de amenazas, estás en lo profundo de la maleza de la tecnología. Entonces, hablemos un poco de eso. Como, ¿cómo es, cuál es ese aspecto de tu día a día?

35:28

Sí, yo diría que realmente giró por mi interés en este componente educativo. Entonces, yo estaba haciendo educación, todo a lo largo de la preparatoria, educación y defensa del ciberespacio. Y luego cuando llegué a la universidad, empecé a interesarme más, bien, ¿quiénes son estos actores de amenazas reales y por qué están haciendo lo que hacen? ¿Y cómo están haciendo lo que hacen? ¿Cómo cuáles son sus tácticas y técnicas? Y entonces fue cuando empecé a entrar en la inteligencia de amenazas. E inteligencia de amenazas, trabajé en el MS-ISAC durante un año. Y luego me mudé a Apple para hacer operaciones de seguridad allí y hacer detección de fraude usando IA y ML. Y luego me mudé al gobierno y hice un trabajo en CISA que estaba totalmente centrado en la creación de capacidad internacional para el desarrollo de capacidades cibernéticas y en ayudar a nuestros socios y a nuestros socios de la cadena de suministro con su seguridad. Y luego regresé a Apple, hice seguridad de productos con socios de la sociedad civil, protegiendo así a periodistas, disidentes y defensores de derechos humanos. Y me interesó mucho el gobierno de vuelta a impuestos. Y eso es también lo que estoy haciendo este verano en SpaceX, trabajando en atacantes gubernamentales y ataques gubernamentales a nuestros productos. Y eso es también en lo que investigo. Entonces, es simplemente mucha pasión construida por el lado educativo, viendo a las víctimas reales, viendo a personas que habían pasado por cosas como esta, también hemos hecho muchas sesiones con víctimas de explotación en línea. Y así, solo en general, tener exposición a la gente del otro lado de los ataques, creo, ha alimentado mucho de este interés mío por conocer tan bien este campo. Y creo que solo me ha traído cada vez más profundo a estos agujeros de conejo del ciber, pero no lo tendría de otra manera. Es, es muy divertido hacer la investigación y hacer el componente educativo juntos.

37:36

Quiero decir, eso es más o menos un quién es quién de las organizaciones del sector público y privado que has hecho trabajo de ciberseguridad. Y solo puedo decir que la mayoría de las personas que trabajan en que hacen una carrera en el ciberespacio, no han hecho nada relacionado con el ciberespacio hasta que están en sus 30 años. Entonces, tienes como, ya tienes como 15 años de cabeza sobre el resto de nosotros. No es justo. Pero es interesante, de alguna manera estás mirando, como actores de estado nación. Y así, si empatamos algo de lo que antes estábamos hablando, de cómo el auge de los ciberataques. Derecha. Entonces, por un lado, mirando el ascenso de la nación, los actores estatales, y solo una especie de narrativa general es que los atacantes se están volviendo cada vez más sofisticados.

38:21

Sí, esa es una gran pregunta. Creo que incluso haber estado del lado pentesting, también. Es interesante, porque siento que cada vez que hice una de esas experiencias de aprendizaje, y estaba en una evaluación de pentesting, o como que la vi de principio a fin. Siempre volvería a la pieza educativa, y creo que una parte de eso fue porque como, cada vez que me di cuenta que el, el vector inicial que se usaba, como el 80% del tiempo es a través de humanos. Y así independientemente de si se trata de un atacante que tiene acceso a la IA, porque entonces solo facilita su trabajo generar algún tipo de correo electrónico, a través de IA, o generar un buzón de voz que sea generado por IA o una voz que sea generada por IA y conducir ese vector inicial del ataque. Creo que, cada vez, me acabo de encontrar volviendo a la pieza educativa, lo cual creo que es una gran razón por la que no he dejado de hacer eso desde que empecé cuando tenía 14 años. Entonces, yo diría que, tienes razón en que incluso con inteligencia artificial, deberíamos pensar en cómo nuestra defensa en profundidad, nuestra postura de seguridad no necesariamente ha cambiado tanto. Ha cambiado en términos de mejora, pero es un juego de gato y ratón y los actores de amenazas también están mejorando. Entonces, tenemos que adaptarnos. No es solo uno y hecho. He hecho mi seguridad. Ya terminé con eso. No voy a pensar en ello. Es más bien Bien, ¿podemos revisar esto ahora que los actores de amenazas están evolucionando? ¿Qué podemos hacer para simplemente mantenernos por delante de la aguja? Y creo que como diseñadores, así que es una gran cosa pensar cuando estás pensando en diseñar un producto es como, bien, si construyo esto, si diseño de esta manera, ¿cómo tratarían los atacantes de sortearlo? ¿Y cuál es su siguiente movimiento?

40:13

Eso es, eso es brillante, ¿verdad? Porque eso es en gran medida un enfoque centrado en amenazas para construir producto o como hablamos cuando hablamos de Zero Trust hablamos de ello como una especie de suposición, intrusión, asumir que el atacante está adentro, ¿cómo sería entonces cómo construiría entonces sus controles? ¿Construye tu seguridad para que no puedan llegar más lejos? Derecha. Y creo que ese es, ese es absolutamente el caso. Porque cuando yo, cuando pienso que esto fue relación, digamos a los atacantes impulsados por IA, es en última instancia, para qué es el combustible, para el modelo de IA. Son datos, es información sobre, sobre qué se trata de usted sobre su organización, sobre la infraestructura que tiene. Entonces, cuanto menos de eso, que ponga a disposición gratuitamente, ¿verdad? Cuanto más, menos tiene que trabajar el atacante. Entonces, es como morir de hambre, como hablamos, como, hablamos de reducir la superficie de ataque, correcto, o administrar nuestra superficie de ataque, pero también es como manejar la superficie de aprendizaje, como qué, ¿cuál es esa superficie de la que está expuesta y de la que el atacante puede aprender?

41:24

Sí, sí, estoy totalmente de acuerdo. Y me he pasado el último año mirando el uso de grandes modelos de lenguaje para realizar ciberdefensa y para extraer o identificar tácticas y técnicas, después de un ataque. Y las cosas que aprendiste en cuanto a usar inteligencia artificial, afinarla para que sea una herramienta productiva es, es solo que nuestra IA está, definitivamente está desarrollada, pero definitivamente tiene sus matices, verdad. Como, cuando interactúas con un LM, definitivamente puedes decir que es alucinante bastante, y cosas así. Entonces creo que todos están en esto, como, en el campo de juego está nivelado en ese sentido que como están operando con el mismo nivel de herramientas que nosotros, intentemos construir más rápido. Construyamos herramientas defensivas más rápido. Vamos a evadir estos, estos riesgos potenciales más rápido que ellos.

42:24

Entonces, ¿cómo ve la IA transformando el panorama de ciberseguridad? Al igual que ¿cuál crees que es la clave que se puede utilizar para abordar?

42:38

Hay, hay tantas pequeñas subtareas, creo. Pero creo que la forma en que los ingenieros de IA lo están viendo, así como los profesionales cibernéticos es, nuevamente, esta idea de como, ¿cómo podemos encontrarnos donde estamos? ¿Verdad? No es que la IA vaya a ser utilizada para reemplazar a los ciberprofesionales. Pero es más bien, ¿cómo podemos encontrar esas como pequeñas subtareas que en realidad, si un analista, si un analista humano no estuviera dedicando tanto tiempo a esto, en realidad podría poner sus esfuerzos de analista humano en una tarea más difícil o en una subtareas más duras requeridas por los humanos? Entonces, creo que ese ha sido mi enfoque, ¿cómo encuentro estas subtareas más pequeñas que realmente podríamos crear puntos de referencia? Y entonces esa es la segunda cosa es, ¿cómo en realidad se prueba científicamente, rigurosamente esto para que sepamos que un modelo LM sería útil para una tarea? ¿O sería bueno para una tarea? Y eso es lo enorme, creo que la pregunta de investigación académica en este momento es, sí, hay como que todas estas herramientas salen a la luz cada proveedor cibernético afirma tener un producto impulsado por IA. Pero al mismo tiempo, si nos fijamos en la investigación, no hay muchos puntos de referencia de LLM como, Bien, así es como los humanos se desempeñan en esta tarea. Así es como se desempeña el LLM; hagamos una comparación lado a lado. Y hagamos eso a escala cientos de veces para ver en realidad, ¿sería esta una herramienta potencial? Entonces, creo que es la siguiente etapa de la investigación académica, ¿podemos producir puntos de referencia que proporcionen evidencia científicamente rigurosa? Porque, de nuevo, esta es la industria cibernética de la que estamos hablando, necesitamos evidencia para algo como decisiones de alto riesgo, ¿verdad?

44:25

Absolutamente. Estuvo platicando con un ex colega anoche. Estábamos hablando de esto porque está en medio de construir una startup que está aprovechando en gran medida la IA para la tecnología que estamos construyendo. Y estábamos hablando de, bien, bueno, cómo es la IA, convencerme de que la IA es realmente útil, ¿verdad? Y entonces creo que lo que le clavamos resumiendo lo que dijiste es, ¿cuáles son las tareas del día a día que odio hacer, pero tengo que hacer? Y si puedo usar IA, si la IA puede entender cuáles son esas tareas, y hacerlas por mí, eso es realmente útil. Porque entonces puedo concentrarme, a tu punto, en cosas que realmente quiero hacer. Eso no puedo porque estoy gastando tanto tiempo en estas cosas que tengo que hacer, pero odio hacer.

45:24

Absolutamente, sí, creo que es una gran manera de decirlo. Y creo que cuando hablo con la gente del sector público en términos de, ¿cuáles son las adopciones que el gobierno está mirando en términos de IA? Es algo así como lo mismo. Son todos estos pequeños, no son los problemas sexys que están viendo. Es de todo, ya sabes, desde contratar a un RH hasta descubrir cómo incorporar a alguien a quien le gusta un nuevo empleado, cómo incorporarlo sin, ya sabes, gastar demasiados recursos y, y esfuerzo humano. Por ejemplo, ¿cómo podemos usar estas herramientas para realmente mejorar lo que hacemos y aumentar lo que hacemos? Y sí, creo que uno de mis profesores lo puso muy interesante, es, se trata de aumento de inteligencia, en lugar de automatización.

46:13

Sí, absolutamente. Derecha. Y cuando vas a uno, no son los problemas sexys que estás tratando de resolver. Son los problemas de la MIERDA que están tratando de resolver. ¿Verdad? ¿Y los que pero los que tienes que resolver absolutamente en el día a día? Sí, estoy completamente de acuerdo. Y creo que por eso la era de la IA, la revolución tiene tantos paralelismos con esos otros saltos en, en, en una especie de tecnología que hemos visto en los últimos 100 años, ¿verdad? Es, no lo es, esencialmente está habilitando, o quitando algunas de esas cosas muy manuales. Eso es increíble. Entonces, pensemos en cuando miras a tu, en tu bola de cristal sobre cibernética, sobre política, sobre el elemento humano sobre la IA. ¿Qué ve como el futuro?

47:09

La pregunta del millón de dólares.

47:12

¡Pregunta de mil millones de dólares! Te haces la idea, ¿verdad?

47:17

¡Oh, tengo que construir mi startup! Pero creo que es una serie de cosas en la industria cibernética. Ahí. Siento que están pasando tantas cosas ahora mismo, es difícil precisar una cosa, pero sí pienso, si pudiera resumirlo, va a ser, como dijiste, este fino equilibrio de ¿dónde trazamos la línea entre el análisis humano y el aumento de inteligencia? Y si alguien consigue eso, bien, creo que esa va a ser la herramienta de mil millones de dólares que es, ¿puedes construir algo que aumente la inteligencia que nos haga defensores más inteligentes, pero también aproveche lo que los humanos hacen mejor, que es la detección de anomalías, o descubrir que algo es un poco extraño o extraño que una máquina podría no ser capaz de captar? Y es afinar esa afirmación del problema que va a, creo, empujar la aguja lejos.

48:16

Entonces, ¿cuándo sale tu startup?

48:22

Este es un lanzamiento suave para ello. Es un lanzamiento suave. Y también estoy audicionando para un papel en ella.

48:32

Fantástico. Así que así. Volvamos a traerlo a la educación y a la concientización mientras terminamos. Y como que va a haber tantos profesionales de seguridad que estarán escuchando este podcast, ¿verdad? Cuál es el mensaje que tienes, como tu conexión con una especie de quienes aún están llegando por su escolaridad alta, llegando por la universidad. Pero también ¿ha tenido toda esa exposición en el sector público de alta gama, sector privado de gama alta? ¿Cuál es su mensaje a los profesionales de ciberseguridad de hoy que deben tener en cuenta sobre los profesionales de ciberseguridad del mañana?

49:20

Sí, creo un par de cosas. Entonces una es que todo empieza, es muy de base. Si hay un mensaje que podría enviar a los ciberprofesionales de la industria laboral, que todo vuelve a tu comunidad, a tu impacto al mensaje que envías. Entonces, siempre recomiendo, salir a las escuelas locales hablar de lo que haces, y traer esa imagen de la que estábamos hablando al principio, bien, ese cibernético no es solo este tipo de persona o este único trasfondo que se requiere. Está en todas partes, y es todo. Ayer, estaba hablando con un amigo yo estaba como, no eliges el cibernético, el ciberte elige. como que esa es la cosa es, es salir a la comunidad compartir sobre lo que sí presentas este hecho que hay, ya sabes, presentar un panel de gente de tu sabes, Illumio o donde sea que trabajes de gente que viene de diversos orígenes diferentes que están viendo este problema desde varias lentes. Entonces, esa es la única cosa es entrar a la comunidad. Y luego el segundo es saber que esta generación no solo es apática ante estos temas, somos muy conscientes, conocedores, queremos saber la respuesta. Vamos a hacer las preguntas difíciles. Así que solo prepárate y emociona y entiende que tenemos que conocernos dónde estamos en términos de educación cibernética.

50:49

Asombroso. Kyla, ha sido un placer hablarte, cierto. Ojalá pudiéramos tener más tiempo, pero sé que tu tiempo es precioso. Así que de nuevo, muchas gracias por tu tiempo. Realmente lo agradezco. Ha sido fantástico.

51:02

Gracias, Raghu. Esto ha sido muy divertido. Gracias.