Ivan reside en Clermont-Ferrand, en el epicentro de Francia. Escribe novelas de ficción, de vez en cuando practica paracaidismo y su deseos es que su vida sea una aventura cada. También es miembro del Equipo de Análisis e Investigación Global de Kaspersky (GReAT), el grupo de expertos de Kaspersky que descubrió Carbanak, Cozy Bear, Equation, y otras varias amenazas mundiales, así como sus sofisticados malwares.
– Ivan, no puedo evitar comenzar con esta pregunta al ver tu: ¿tienes raíces eslavas?
– Algo así. Mi nombre viene de mi abuelo paterno. El apellido “Kwiatkowski” es polaco, pero, curiosamente, ni siquiera era de él: fue adoptado y no conocemos su nombre “real”, al igual que su origen. Así que, aunque tenía raíces eslavas en alguna parte, su origen exacto se ha perdido para siempre.
– Te dedicas a investigar el malware y los grupos de hackers. ¿Cómo llegaste a esto? No creo que sea una más de la lista de carreras universitarias.
– Cuando estudiaba, no existían programas o cursos sobre ciberseguridad, y mucho menos clases sobre análisis de malware y temas similares. La ciberseguridad es un campo al que llegué por accidente.
En 2008, mientras estudiaba la carrera de informática, pensé en trabajar en el campo de la inteligencia artificial. Cuando estaba a punto de irme a Vancouver para realizar unas prácticas, tenía que dar de baja mi contrato de Internet porque no quería seguir pagando mientras no estaba en el país. Así que llamé a mi proveedor de Internet y le conté la situación. Me dijo que les mandara una carta (esto fue más o menos un mes antes de irme), y ellos se encargarían del resto.
Eso hice, y en tan solo unos días, mi acceso a Internet ya no existía. Seguro fue la primera vez en la historia en la que gestionaban una solicitud de baja de tan eficazmente. Pero, claro, para un estudiante de informática, estar un mes sin Internet es algo impensable. Hablé de nuevo con mi proveedor y me dijo que no podían restablecer el acceso (o, más bien, no querían hacerlo). Comencé a investigar la seguridad del wifi para… conectarme temporalmente a la red de un vecino hasta que me fuera.
En ese entonces, Wep, el protocolo de cifrado que todos utilizaban era muy inseguro. Después de haber tenido mi primer contacto con la seguridad informática (o mejor dicho, con la ausencia de esta), me percaté de que iba a seguir investigando este campo durante años. Y me pareció más razonable desarrollar mi carrera en rubro en lugar de ser arrestado en un futuro por alguna investigación no solicitada.
Por lo que, de forma casi inmediata, abandoné la inteligencia artificial y comencé con mis estudios en ciberseguridad. Cuando obtuve el título, pude conseguir un trabajo en este sector, ¡y seguimos aquí desde entonces!
– ¡Esa era la segunda pregunta! ¿Se puede ser investigador de seguridad sin tener alma de hacker?
– Diría que es un trabajo que requiere mucha pasión y dedicación, lo cual suele atraer a personas muy perseverantes. Y, bueno, un hacker es un poco así.
– ¿Cómo llegaste a Kaspersky?
– Trabajaba para empresas pequeñas que ofrecían servicios relacionados con la seguridad de la información en París. Era interesante, pero sentía que había llegado a un punto en el que quería marcar una diferencia con mi trabajo, y pasar a la inteligencia de amenazas me pareció un buen camino para lograrlo.
Elegí Kaspersky justo después de la campaña mediática tan negativa que había sufrido la empresa en 2018. Mi intuición me decía que un equipo de ciberdefensa que había conseguido enfadar a tanta gente debía estar haciendo algo bien. Y, ahora que soy parte del equipo, puedo confirmar que tenía razón.
– La gente de FireEye dijo en alguna ocasión que ellos son bastante prudentes al tratarse de la divulgación pública de malware: no se apresuran a informar públicamente de un malware si lo hace una agencia gubernamental estadounidense. Para una empresa estadounidense, es una posición comprensible. ¿Pero qué pasa con GReAT? Su equipo es internacional, con investigadores de Rusia, de Occidente, de otros de países asiáticos… ¡de todo el mundo! ¿Cómo solucionan estas situaciones, en caso de producirse?
– No tengo ningún problema en investigar el malware proveniente que al parecer es ruso, estadounidense o francés. Y aunque lo tuviera, existen otros en el equipo internacional de GReAT a quienes les encantaría trabajar en dichas amenazas. En este sentido, no hay limitaciones en cuanto a los atacantes que podemos rastrear.
De todas formas, creo que debería separarse la ofensa de la defensa. En ocasiones los Estados tienen razones legítimas para realizar ciberataques (por ejemplo, cuando se trata de luchar contra el terrorismo), y en otras no (como robo de propiedad intelectual). Ninguno de nosotros en GReAT está cualificado para actuar como juez y dictaminar qué operaciones son legítimas. Ponernos en esta posición solo nos traería un montón de problemas y dilemas.
Me parece que Montesquieu, el filósofo del siglo XVIII, tenía una visión certera sobre esta cuestión en su cita: “El poder detiene al poder”. Los Estados ejercen su poder y, nosotros, como empresa de ciberseguridad, tenemos el poder de hacérselos más difícil. Desde que existimos, deben de pensárselo antes de lanzar operaciones ofensivas. Como conllevamos costes, su poder se mantiene bajo raya, lo cual impide que abusen de él, o al menos no tanto. Creo que es una razón más que cálida para justificar la investigación de todas las actividades cibernéticas, sin importar su origen.
Creo que la existencia de Kaspersky en el mercado de la inteligencia de amenazas es crucial, y en ningún momento debe permitirse que el único proveedor neutral desaparezca. Espero que todos superemos esto y sigamos trabajando en todas las APT, sin importar de dónde provengan los ataques. Todos somos investigadores con igualdad de oportunidades.
– En marzo, el equipo de GReAT realizó un webinar sobre los ciberataques a Ucrania: HermeticWiper, WisperGate, Pandora… Pero, también hubo una ola de ataques dirigidos a organizaciones rusas: wipers, DDoS, spear phishing. Sin embargo, no vemos ninguna publicación especial de GReAT sobre esos ataques. ¿Por qué?
– Esto se debe principalmente a una cuestión de volumen. Los ciberataques contra Ucrania han sido a escala masiva y sumamente visibles, ya que buscan efectos disruptivos: destruir datos, ransomware, etc. Muchos de nuestros competidores también tienen una buena visibilidad en Ucrania; incluso, en ocasiones, colaboran, lo cual da lugar a obtener datos precisos sobre los acontecimientos del país. Esto se traduce en una importante cobertura mediática.
Es verdad que algunos de esos ataques se dirigen a Rusia, pero la atención que reciben es menos. Descubrimos algunos de ellos en nuestros informes privados. Y seguimos a una serie de actores (principalmente de habla china) activos en la región en este momento. Pero no tengo conocimiento de ninguna actividad destructiva de importancia.
– Anonymous afirma haber desbaratado sitios web rusos, y se ha comprobado que algunos sitios en realidad sí resultaron dañados. ¿Crees que estas acciones se relacionan con el movimiento que ya activamente desde hace 15 años?
– Creo que Anonymous dejó de ser un referente desde hace muchos años. Es probable que exista todavía algún hacktivismo auténtico que use esa marca, pero es incuestionable que las APT también han utilizado este “fenómeno” para, en ocasiones, llevar a cabo sus propias operaciones de guerra de información.
Como regla general, creo que los investigadores nunca deben tener en cuenta la autoatribución y deben centrarse solamente en los elementos técnicos cuando tratan de averiguar qué grupo podría estar detrás de un ataque.
– Algunos gobiernos europeos aconsejan a sus ciudadanos que se deshagan de los productos de Kaspersky, pero al parecer Francia trata de ser lo más neutral posible. ¿Puede deberse a las elecciones? ¿O la gente en Francia tiene realmente una actitud diferente sobre el conflicto de Ucrania?
– En realidad creo que no se trata tanto de los franceses, sino de las instituciones del país. La Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI), se ha esforzado siempre en mantenerse neutral ante la mayoría de estos asuntos. Más allá de esto, creo que Francia comparte la misma percepción que el resto de Europa en lo que respecta al conflicto ucraniano. Créeme, ningún político quiere ser percibido como simpatizante de Vladimir Putin, ¡y menos en época electoral!
– ¿Qué pasa con la comunicación de GReAT con el resto del mundo de la seguridad de la información? Algunas empresas están cortando lazos con Kaspersky. ¿Cómo va a afectar esto su trabajo?
– El principal problema para nosotros se relaciona con las empresas estadounidenses que nos prestaban ciertos servicios. Están considerando cortar los lazos con nosotros. Algunas, incluso, ya limitaron nuestro acceso a sus herramientas, lo cual afecta la capacidad que tenemos para nuestras investigaciones diarias.
En cuanto a los encuentros o relaciones con los compañeros de la industria, sí, algunos ya no van a hablarnos. En mayor medida, las relaciones más personales que mantenemos con otros investigadores no se han visto afectadas.
En resumen, es claro que la disminución de intercambio de información reduce la capacidad de toda la industria para cumplir su propósito.
– ¿Cómo se comunican los expertos de GReAT entre ustedes? ¿Tienen reuniones presenciales periódicas? ¿Se reúnen en Moscú todos los compañeros de equipo para tomar unas cervezas?
– Sinceramente, durante un tiempo las cosas han complicado bastante. Somos un equipo totalmente remoto y, por ello, cada región tiene sus propias reuniones semanales para coordinar el trabajo. Cuando me incorporé a la empresa había al menos una gran reunión al año, como la Cumbre de Analistas de Seguridad, que también solía ser presencial. Pero, debido a la pandemia, hace tiempo que no se hace nada.
También iba regularmente a Moscú para pasar algún tiempo con los compañeros rusos del equipo, pero no está muy claro si esto sigue siendo una opción. Espero que encontremos la manera de vernos, porque esos viajes siempre han sido increíbles.