Ivan vive en Clermont-Ferrand, en pleno centro de Francia. Escribe novelas de ficción, hace paracaidismo de vez en cuando y quiere que cada día de su vida sea una aventura. También es miembro del Equipo de Análisis e Investigación Global de Kaspersky (GReAT), el grupo de expertos de Kaspersky que descubrió a Carbanak, Cozy Bear, Equation, entre muchas otras amenazas mundiales, y sus sofisticados malwares.
– Ivan, al ver tu nombre no he podido evitar empezar con esta pregunta: ¿tienes raíces eslavas?
– Más o menos. Mi nombre viene de mi abuelo por parte de padre. El apellido “Kwiatkowski” viene de Polonia, pero, curiosamente, ni siquiera era suyo: él era adoptado y su nombre “real” es desconocido, al igual que su origen. Así que, si bien tenía raíces eslavas en alguna parte, su origen exacto se ha perdido para siempre.
– Te dedicas a investigar el malware y los grupos de cibercriminales. ¿Cómo llegaste a entrar en esta profesión? No creo que aparezca en la lista de carreras universitarias.
– Cuando yo estudiaba, no había programas ni cursos de ciberseguridad, y mucho menos clases sobre análisis de malware y similares. La ciberseguridad es un campo al que llegué por accidente.
En 2008, mientras estudiaba la carrera de informática, pensé en trabajar en el campo de la inteligencia artificial. Estaba a punto de irme a Vancouver para hacer unas prácticas y tenía que dar de baja mi contrato de Internet porque no quería seguir pagando mientras estaba fuera. Me puse en contacto con mi proveedor de Internet y les expliqué la situación. Me dijeron que les enviase una carta (esto fue más o menos un mes antes de irme), y ellos se encargarían de todo.
Así que lo hice, y en tan solo unos días, ya no tenía acceso a Internet. Debía ser la primera vez en la historia en la que se gestionaba una solicitud de baja de un cliente de una forma tan eficaz. Pero, claro, para un estudiante de informática, estar un mes sin Internet es inimaginable. Volví a hablar con mi proveedor y me comunicaron que no podían restablecer el acceso (o, más bien, no querían hacerlo). Así que empecé a investigar la seguridad de la wifi para… conectarme temporalmente a la red de Internet de un vecino hasta que me fuera.
En ese momento el protocolo de cifrado que todo el mundo utilizaba, WEP, era muy inseguro. Pero, después de haber tenido mi primer contacto con la seguridad informática (más bien, con la ausencia de esta), me di cuenta de que seguiría investigando en este campo durante años. Y me pareció más razonable desarrollar mi carrera en esta línea en lugar de ser arrestado en un futuro por alguna investigación no solicitada.
Así que, casi de inmediato, dejé el tema de la inteligencia artificial y empecé a estudiar ciberseguridad, además de seguir con mis estudios. Cuando conseguí el título, pude conseguir un trabajo en este sector, ¡y aquí estamos desde entonces!
– ¡Me has quitado la segunda pregunta! ¿Se puede ser investigador de seguridad sin tener alma de hacker?
– Diría que es un trabajo que requiere mucha pasión y dedicación, y esto suele atraer a personas muy perseverantes. Y, bueno, un hacker también es un poco así.
– ¿Cómo llegaste a Kaspersky?
– Había trabajado para pequeñas empresas que ofrecían servicios relacionados con la seguridad de la información en París. Era interesante, pero sentía que había llegado a un punto en el que quería que mi trabajo marcara la diferencia, y pasar a la inteligencia de amenazas me pareció un buen camino para conseguirlo.
Elegí Kaspersky en 2018, justo después de la negativa campaña mediática que había sufrido la compañía. Mi intuición me decía que un equipo de ciberdefensa que había conseguido enfadar a tanta gente tenía que estar haciendo algo bien. Y, ahora que formo parte del equipo, puedo confirmar que tenía razón.
– La gente de FireEye dijo una vez que ellos suelen ser bastante prudentes cuando se trata de la divulgación pública de malware: no se apresuran a informar públicamente de un malware si lo hace una agencia gubernamental estadounidense. Para una empresa estadounidense, es una posición comprensible. ¿Pero qué pasa con GReAT? Vuestro equipo es internacional, con investigadores de Rusia, de Occidente, de otros de países asiáticos… ¡de todas partes! ¿Cómo solucionáis estas situaciones, en caso de producirse?
– No tengo ningún problema en investigar el malware de origen presuntamente, ruso, estadounidense o francés. Pero incluso si lo tuviera, hay muchos otros en el equipo internacional de GReAT que estarían encantados de trabajar en estas amenazas. En ese sentido, no tenemos limitaciones en cuanto a los atacantes que podemos rastrear.
Aun así, creo que debería haber una separación entre ofensa y defensa. A veces los Estados nación tienen razones legítimas para realizar ciberataques (por ejemplo, en la lucha contra el terrorismo), y a veces no (robo de propiedad intelectual). Ninguno de nosotros en GReAT está cualificado para ejercer como juez que dictamine qué operaciones son legítimas. Estar en esta posición solo nos supondría un montón de problemas y dilemas.
Creo que Montesquieu, el filósofo del siglo XVIII, aportaba una visión acertada de esta cuestión en su cita: “El poder detiene al poder”. Los Estados ejercen su poder y, nosotros, como empresa de ciberdefensa, tenemos el poder de hacerles la vida más difícil. Desde que existimos, tienen que pensárselo dos veces antes de lanzar operaciones ofensivas. Como conllevamos costes, su poder se mantiene bajo control y no pueden abusar de él, o al menos no tanto. Creo que es una razón más que suficiente para justificar la investigación de todas las actividades cibernéticas, sin importar su origen.
Creo que la existencia de Kaspersky en el mercado de la inteligencia de amenazas es vital, y bajo ningún concepto se debe permitir que el único proveedor neutral desaparezca. Espero que todos superemos esto y sigamos trabajando en todas las APT, sin importar de dónde vengan los ataques. Todos somos investigadores con igualdad de oportunidades.
– En marzo, el equipo de GReAT realizó un webinar sobre los ciberataques a Ucrania: HermeticWiper, WisperGate, Pandora… Pero, al mismo tiempo, también hubo una ola de ataques dirigidos a organizaciones rusas: wipers, DDoS, spear phishing. Sin embargo, no vemos ninguna publicación especial de GReAT sobre esos ataques. ¿Por qué?
– Esto es, sobre todo, una cuestión de volumen. Los ciberataques contra Ucrania han sido a escala masiva y muy visibles debido a que buscaban efectos disruptivos: destrucción de datos, ransomware, etc. Muchos de nuestros competidores también tienen una buena visibilidad en Ucrania; a veces incluso colaboran, lo que permite obtener datos muy precisos sobre lo que ocurre en el país. Esto da lugar a una importante cobertura mediática.
Es cierto que algunos de esos ataques se dirigen a Rusia, pero reciben menos atención. Hemos cubierto algunos de ellos en nuestros informes privados. Y estamos siguiendo a una serie de actores (principalmente de habla china) activos en la región en este momento. Pero no tengo conocimiento de ninguna actividad destructiva grave.
– Anonymous ha afirmado haber tumbado sitios web rusos, y se ha comprobado que algunos sitios fueron efectivamente dañados. ¿Crees que estas acciones de “Anonymous” están relacionadas con el movimiento que ya lleva en activo 15 años?
– Creo que Anonymous dejó de ser un movimiento de referencia hace muchos años. Es posible que todavía haya algún hacktivismo auténtico que utilice esa marca, pero es incuestionable que las APT también han utilizado este “fenómeno” para, en ocasiones, llevar a cabo sus propias operaciones de guerra de información.
Como norma general, creo que los investigadores nunca deben tener en cuenta la autoatribución y deben centrarse exclusivamente en los elementos técnicos cuando intentan averiguar qué grupo podría ser responsable de un ataque.
– Algunos gobiernos europeos aconsejan a sus ciudadanos que se deshagan de los productos de Kaspersky, pero parece que Francia intenta ser lo más neutral posible. ¿Puede deberse a las elecciones? ¿O la gente en Francia tiene realmente una actitud diferente sobre el conflicto de Ucrania?
– Creo que, realmente, no se trata tanto de los franceses como de las instituciones del país. La Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) siempre se ha esforzado en mantener una posición neutral en la mayoría de estos asuntos. Más allá de esto, creo que Francia comparte la misma percepción que el resto de Europa en lo que respecta al conflicto ucraniano. Créeme, ningún político quiere ser percibido como simpatizante de Vladimir Putin, ¡al menos en época de elecciones!
– ¿Qué pasa con la comunicación de GReAT con el resto del mundo de la seguridad de la información? Algunas empresas están cortando lazos con Kaspersky. ¿Cómo afectará esto a vuestro trabajo?
– El principal problema para nosotros está relacionado con las empresas estadounidenses que nos prestaban ciertos servicios. Están considerando cortar los lazos con nosotros. Incluso algunas ya han limitado nuestro acceso a sus herramientas, lo cual afecta a nuestra capacidad para llevar a cabo nuestra investigación diaria.
En cuanto a los encuentros o relaciones con los compañeros de la industria, sí, algunos de ellos ya no nos hablarán. Aunque, en su mayor parte, las relaciones más personales que mantenemos con otros investigadores no se ven afectadas.
En resumen, está claro que la disminución de intercambio de información reduce la capacidad de toda la industria para cumplir su propósito.
– ¿Cómo os comunicáis los expertos de GReAT entre vosotros? ¿Tenéis reuniones presenciales periódicas? ¿Os reunís en Moscú todos los compañeros de equipo para tomar unas cervezas?
– Sinceramente, durante un tiempo las cosas han sido bastante complicadas. Somos un equipo totalmente remoto y, por lo tanto, cada región tiene sus propias reuniones semanales para coordinar el trabajo. Cuando me incorporé a la empresa había al menos una gran reunión al año, como la Cumbre de Analistas de Seguridad, que también solía ser presencial. Pero, debido a la pandemia, hace tiempo que no se hace nada.
También solía ir a Moscú de forma regular para pasar algún tiempo con los compañeros rusos del equipo, pero no está muy claro si esto sigue siendo una opción. Espero que encontremos la manera de vernos, porque esos viajes siempre han sido increíbles.