Aunque ya he publicado algunos artículos sobre le tema, me parece conveniente iniciarlo con algo obligado, en favor de lo patrio, y por su elevado interés.
A continuación la entrevista que realicé a Sebastián Rosales, CTO de CS2.es, un pionero en el desarrollo exitoso de soluciones para implementar la privacidad entre personas a través de los smartphones en España.
Igual aparece en otros medios, pero como no logro que me paguen por este contenido, aquí lo tenéis para vuestro provecho:
Comunicaciones Seguras: La alternativa española.
Entrevista a Sebastián Rosales, Director General de CS2 (2024: Ahora pertenece a Telefónica), uno de los mayores expertos en sistemas TIC para agencias de Inteligencia, no solo en España.
En España también hay fabricantes de soluciones de Comunicaciones Seguras, no hay porqué recurrir a empresas británicas, de USA o alemanas para alcanzar la seguridad necesaria en las comunicaciones de voz y datos, entre el personal de instituciones públicas o empresariales, que requieren estos tiempos en los que vivimos, donde el atacante puede estar ubicado en Shangrao, San Petersburgo o San Fernando de Henares.
Una de estas empresas españolas, quizás la más significativa, es la liderada por Sebastián Rosales, que cuenta con grandes éxitos profesionales al servicio de la Seguridad de España y otros países, dirigiendo unidades de negocio de grandes empresas del sector, y ahora embarcado en un proyecto que cuenta con todo su carisma, la empresa CS2 (https://www.cs2.es/), y que muy posiblemente cuando se publique este artículo sea ya conocido por todos un muy importante éxito comercial, que todavía está embargado a fecha de redactar este artículo.
Para quienes no estén al corriente de este tipo de soluciones, no tan populares como las estrictamente de ciberseguridad, incluyendo los “Data Loss Prevention”, los sistemas de Comunicaciones Seguras tienen como objetivo impedir la principal actividad que realiza un agente (o espía) de campo: Conseguir información. Desde la popular y ficticia figura del agente Anacleto, a la minusvalorada pero muy real doña Marina, la Inteligencia necesita obtener información del enemigo para poder tomar decisiones. Sun Tzu hace todo una loa a este actor, al espía, pues sin él, es imposible vencer sin luchar, no se puede engañar al enemigo para que la victoria se alcance sin llegar al campo de batalla.
“No tiene sentido proteger con Secret T a solo un grupo de usuarios de una organización, cualquiera puede fugar información clasificada, reservada o secreta”
Escuchar conversaciones en un hall de un hotel es una práctica corriente. Lo mismo que infiltrarse en una organización y formar parte de la cadena de comunicación. Ese “Hombre en el Medio”, en inglés “Man in the Middle” es el método humano (HUMINT) o tecnológico (COMINT) para conseguir robar información. Y los sistemas de Comunicaciones Seguras impiden que fugue información por existir un intruso, que no solo escucha sino que también suplanta identidades, o aprovecha para inyectar software malicioso.
A continuación Sebastián Rosales nos explica con gran detalle la solución que la empresa CS2 propone a organismos públicos y empresas privadas como Infraestructuras Críticas, bancos, ingenierías, bufetes de abogados, farmacéuticas, o incluso aseguradoras. Es muy destacable la versión Táctica, orientada a Policía Local y Seguridad Privada, al emular un Push2Talk con smartphones corrientes.
Entrevistador (E): ¿Puedes comentarnos algo sobre vuestra empresa? ¿cuando nace? ¿cual es su valor diferencial?
Sebastián Rosales (SR): CS2 nace en 2019 con el objetivo de cubrir un hueco, a nivel internacional, en el mercado de comunicaciones móviles seguras a nivel de gobiernos y grandes empresas.
Nuestro valor diferencial es que contamos con una solución de alto nivel de seguridad, basada en una arquitectura de seguridad con separación de zonas y un módulo criptográfico independiente, que además cuenta funcionalidades de usuario muy avanzadas que permiten el trabajo colaborativo.
“Secret T se integra con los principales sistemas MDM/MAM para la gestión de los terminales”
Un factor diferencial es que nuestro sistema permite cubrir todas las necesidades de un gobierno, o gran empresa, y proteger a toda la organización al completo, con el despliegue de decenas de miles de usuarios
E: ¿Vuestros productos son solo para organizaciones gubernamentales o también vendéis al sector privado?
SR: Originalmente Secret.T fue diseñado para cubrir a los gobiernos, con una solución de seguridad nacional que incluya la propia cifra nacional. La inclusión adicional de una cifra civil permite que también lo puedan usar grandes empresas y multinacionales del sector privado
E: Vuestra solución es como Whatsapp, que se basa en SIGNAL o es una solución original?
SR: Como comentaba, Secret.T es una solución de seguridad nacional, no tiene nada que ver con Signal u otras apps de comunicaciones. Nuestro sistema cubre 5 bloques de seguridad, de los que el cifrado de la comunicación, que es lo que hacen las apps del mercado, sólo es uno de ellos.
E: ¿Es capaz de trabajar vuestra app en redes 2G con SMS tan solo?
SR: Secret.T es capaz de funcionar sobre redes de bajo ancho de banda, como son GPRS y EDGE (redes 2G) o soluciones satelitales como Iridium o Inmarsat. Sólo necesitamos conectividad IP y un pequeño ancho de banda, que varía dinámicamente en función de la calidad de la red (delay, jitter, etc). Para ello contamos con nuestro gestor de calidad de servicio y nuestros propios Codecs de audio, en lugar de usar los propios del terminal.
E: ¿Es vuestra solución una app, o tiene un conjunto de soluciones alrededor como un específico smartphone securizado?
SR: Nuestra solución Secret.T se basa en una app y un Operador Móvil Virtual (IMS), y puede correr tanto sobre terminales estándar (con sistemas operativos iOS y Android) como sobre terminales específicos securizados (Cualificados o Aprobados), y manejar información sensible o clasificada hasta nivel Difusión Limitada Nacional/NATO Restricted.
E: ¿Vuestra APP proporciona ventajas añadidas si el usuario decide usar un telefono securizado de terceras empresas?
SR: Un teléfono securizado es en sí mismo un contenedor y necesita de una aplicación como la nuestra para proporcionar al usuario los servicios seguros de mensajería, envío de ficheros, llamadas, multillamadas, meetings, videoconferencias, etc.
“Nuestra solución funciona en todos los países, incluidos aquellos donde aplicaciones como Signal, Whatsapp, etc no funcionan”
E: ¿Vuestra solución proteje al usario de malware como Keyloggers o capturadores de pantalla o audio?
SR: Nuestra solución protege todos los activos del usuario, lo que escribe (evidentemente no se usa el keylog del sistema), lo que habla (para que no puedan grabarle), así como todo lo que transmite y todo lo que se almacena. Todo está cifrado extremo-extremo y todo se almacena también está cifrado.
Típicamente las aplicaciones del mercado se centran en cifrar la comunicación, pero todo lo que reciben o transmiten (ficheros, fotos, imágenes, documentos, etc) se almacenan en claro en directorios públicos y un malware como Pegasus puede tener acceso y llevarse toda la información. Secret.T no sólo transmite todo cifrado extremo-extremo con varios niveles de cifra, sino que también almacena todo cifrado dentro del Sandbox de la aplicación. Esto evita que un malware como Pegasus pueda tener acceso a la información.
E: Vuestra app permite evitar que gobiernos bloqueen las comunicaciones entre vuestras app mediante ataques a un servidor centralizado? ¿O sigue el modelo de Signal de usar servicios genéricos http de Google u otros similares?
SR: Nuestro sistema no utiliza protocolos de VoIP estándar, que además de consumir un gran ancho de banda (imposibilitando su uso en redes como 2G) son detectados por los Operadores de telefonía y las NSA y capados para que no progresen. Nuestra solución funciona en todos los países, incluidos aquellos donde aplicaciones como Signal, Whatsapp, etc no funcionan.
Como comentaba antes, el servidor IMS (aparte de estar protegido al desplegarse típicamente On-premise en las instalaciones del cliente) no es un vector de ataque ya que toda la información que circula por él está cifrada extremo-extremo directamente entre los terminales de los usuarios.
E: En caso de perdida o robo del smartphone, ¿vuestra solución protege la confidencialidad de la información almacenada en vuestra app? ¿Permite borrar el contenido de forma remota? ¿Hace uso vuestra solución de sistemas MDM para telecontrolar el dispositivo?
SR: Toda la información permanece cifrada dentro del terminal, por lo que protege la confidencialidad de la información almacenada. Además nuestro sistema permite el borrado remoto de la información, e incluso un zeroing local por el usuario o al detectar un intento de manipulación del terminal.
Nuestro sistema es compatible, se suele utilizar, y está integrado con las soluciones de MDM/MAM más modernas del mercado.
E: ¿Que certificaciones o credenciales de las que poseéis son las más apreciadas por vuestros clientes, como muestra de vuestra confiabilidad?
SR: Cualquier empresa que trabaje en temas de Seguridad Nacional tiene que contar con 3 niveles de acreditaciones: a nivel del personal, a nivel de empresa y a nivel de producto.
A nivel del personal tenemos las Habilitaciones Personales de Seguridad (HPS) tanto a nivel Nacional, UE y OTAN. A nivel de empresa, estamos homologados por la Oficina Nacional de Seguridad (ONS) también a nivel Nacional, UE y OTAN. A nivel de producto, Secret.T está en proceso final de certificación por el CCN para manejar información clasificada Nacional y también OTAN.
E: ¿Es una solución cara? ¿Podrías darnos una idea aproximada para una agencia estatal con 50 usuarios?
SR: Como comentaba anteriormente, nuestra solución es corporativa o gubernamental, orientada a proteger toda la AAPP o Ministerio, de forma que sea la única solución que se utilice para el intercambio de información y se evite el uso de soluciones como Whatsapp etc. Para conseguir ese objetivo no tiene sentido desplegar sólo a 50 usuarios. El coste por usuario conseguimos que sea muy bajo ya que la solución cubre a un alto número de usuarios.
E: ¿Que idiomas soporta?
SR: Actualmente inglés y español, y estamos integrando también el árabe. La aplicación está diseñada para ser multilingüe, por lo que añadir nuevos idiomas es relativamente sencillo
Artículo escrito por: Miguel Angel Alcalde. Todos los derechos reservados.
