En una escena aparentemente arrancada de su inspiración cinematográfica, van der Gaast tenía unos 16 años cuando hackeó una instalación de armas nucleares de la India y robó datos de pruebas nucleares subterráneas. "Estaban usando una versión antigua de un servidor de correo, al que engañé para que me diera una cuenta administrativa", dice. Esto lo puso en el radar de varias agencias de inteligencia y, finalmente, fue nombrado uno de los 5 piratas informáticos más notorios del mundo.

Van der Gaast acababa de mudar de Europa a los Estados Unidos en el otoño de 1998 cuando un grupo de hombres de traje de una agencia convertida en miembro al Departamento de Defensa de los Estados Unidos llamó a su puerta. "Pensé que en realidad eran de inmigración", dice, "porque me quedó más tiempo del permitido por mi visa de 90 días".

Afortunadamente para el hacker adolescente, la agencia buscaba reclutar estrellas en ascenso de la clandestinidad virtual, no procesarlas. En ese momento, rápidamente cambió de bando y comenzó a trabajar con el Departamento de Defensa en una operación conjunta con el FBI durante los siguientes tres años. El trabajo consistió en recopilar inteligencia sobre piratas informáticos y actividades delictivas circundantes, así como investigar violaciones de datos de interés nacional.

Esta capacitación poco ortodoxa sirvió como plataforma de lanzamiento para una carrera de 25 años como experto en ciberseguridad, presentador principal y asesor corporativo, lo que lo llevó a su papel actual como fundador y director general de Sequioa Consulting, donde ayuda a los líderes ejecutivos y organizaciones globales a "hacer menos ciberseguridad y hacer más negocios de manera segura".

“Empecé aprendiendo lecciones sobre los métodos, las tácticas y las capacidades que emplean los hackers”, dice. ¿Pero en retrospectiva? Creo que lo que aprendí fue más bien que prácticamente todas estas brechas de seguridad se pudieron prevenir si las organizaciones simplemente gestionaron los aspectos fundamentales de TI y se esforzaron por mejorar activamente sus procesos.

Es este enfoque el que defiende su compañía. En efecto, la compañía aplica metodologías de consultoría de gestión, pensamiento lean y otras disciplinas en el contexto de la tecnología para mejorar los procesos de TI para que haya menos puntos de falla para que los actores de amenazas los exploten.

Una analogía sencilla sería una fábrica de automóvil donde cada auto producido tiene defectos: el volante descentrado, tornillos faltantes en los brazos de la suspensión, las líneas de freno llenas de aire y otros defectos. Según él, sería ridículo emplear a más gente para corregir todos estos defectos en los autos terminados. En cambio, se abordaría el problema, probablemente durante el proceso, en la estación de la línea de montaje donde se producen estos defectos, reduciendo así el número de defectos y también los costos.

Y, sin embargo, dice van der Gaast, el enfoque en ciberseguridad es en gran medida el primero, por lo que la industria se mantuvo en gran medida reactiva en lugar de proactiva, y las causas subyacentes permanecen en su mayoría intactas.

“Fundamentalmente, estamos en una especie de carrera armamentista [para mantener a los hackers alejados de nuestras vulnerabilidades], pero debemos preguntarnos por qué nos enfrentamos a tantos desafíos”, dice. “Es decir, ¿por qué tenemos estas vulnerabilidades en primer lugar?”

El ex hacker lleva tres décadas planteando preguntas tan amplias, y se trata de una línea de cuestionamiento que nunca fue más relevante para las compañías y la sociedad en general.

La forma más sencilla de entender la seguridad es considerarla como la explotación de vulnerabilidades, y esas vulnerabilidades son, en realidad, problemas de calidad —defectos en el código, la configuración, deficiencias en el control, el diseño, la planeación e incluso la cultura—, afirma.

Abordar estos problemas reduce la cantidad de vulnerabilidades, por lo que hay menos que explotar, dice, en lugar de tener que aumentar las defensas frente a estas vulnerabilidades. Esto no solo resulta en un menor gasto en seguridad, agrega, sino que también tiende a hacer que los procesos comerciales y de TI sean más eficientes, lo que también reduce su costo.

"Una vez que comienzas a enfocarte más en la seguridad en función del proceso y la calidad, cuando comienzas a hacer las cosas bien, no solo solucionas los problemas subyacentes, sino que también puedes ayudar a una compañía a crear un cambio positivo y ahorrar dinero".

Van der Gaast siempre comienza a cerciorar las organizaciones llegando a la raíz de sus problemas, profundizando mucho más que los consultores de seguridad con mentalidad tecnológica. “La mayoría de las compañías tienden a adoptar un enfoque de ciberseguridad en el que trabajan constantemente para apagar incendios”, afirma. “En cambio, intento analizar qué está causando cualquier problema informático.

¿Los desafíos provienen del diseño de las aplicaciones? “¿Los diferentes departamentos de la compañía emplean diferentes procesos y proveedores de TI?”, agrega. “Una vez que comprendas la causa raíz de los problemas, podrás comenzar a optimizarlos y eliminarlos sistemáticamente.”

Van der Gaast cree que debemos cambiar nuestro enfoque sobre cómo estamos abordando el problema del cibercrimen. En lugar de mirar a los delincuentes, debemos centrarnos en por qué el crimen es tan fácil.

Menciona que prácticamente todas las infracciones involucran vulnerabilidades conocidas con correcciones disponibles, y que en la mayoría de los casos estas correcciones habían estado disponibles durante más de un año.

"Si pongo una bolsa de grano en tu jardín, no te sorprendería descubrir que tienes miles de mousees una semana después. La solución ideal no es sacrificar y manejar miles de trampas para mousees, es almacenar mejor el grano o cambiar el proceso de por qué lo necesita".

El resultado: puede instalar el mejor sistema de ciberseguridad del planeta, pero si no tiene las herramientas de gestión de identidad adecuadas, su gente no está lo suficientemente capacitada y no ha parcheado y actualizado sus sistemas, dispositivos o aplicaciones, los piratas informáticos simplemente pueden eludir sus defensas, digitales o de otro tipo, dice. 

En última instancia, en una era de crecientes amenazas impulsadas por IA, como ataques automatizados y videos deepfake, van der Gaast dice que defender con éxito una organización moderna de los ciberdelincuentes debe incluir capacitación, educación y un enfoque proactivo, no reactivo.

Estas amenazas, una vez comprendidas, a menudo se pueden neutralizar mediante la implementación de bases estables (no importa qué tan rápido sea un ataque si no es vulnerable a él) y procesos, como las transferencias de fondos que siempre se realizan a través de un proceso definido que no es susceptible de ser falsificado.

A sus ojos, lo mejor que puede hacer para ayudar a su organización es determinar los problemas que causan sus vulnerabilidades y abordarlos, lo más arriba posible, incluso observando los problemas organizacionales y culturales. Luego, haga que los equipos de seguridad trabajen con todas las partes de la organización para comprender todos los procesos comerciales y de TI y ayudar a redefinirlos según sea necesario para reducir los riesgos que puedan introducir y estar al tanto de los que quedan.

Solo una vez que las organizaciones hicieron esto, comprendiendo sus problemas subyacentes, podrán formular una estrategia y una hoja de ruta hacia un lugar mejor.

Así como revisó los libros de computación hace décadas, los intereses de van der Gaast hoy todavía implican absorber mucha información. El ex ciberdelincuente, cuyos pasatiempos actuales incluyen arreglar automóvil y leer todo lo que pueda tener en sus manos sobre las mejores prácticas comerciales, dice que el éxito en ciberseguridad es mucho más que software: "Muchos desafíos que encuentro se reducen a la cultura más que a las soluciones de alta tecnología".