Nicolás Waisman, el argentino que maneja la seguridad informática de Lyft, la competencia de Uber

Nicolás Waisman es un viejo conocido dentro de la comunidad de seguridad informática argentina. Presentó algunas de sus investigaciones en conferencias como BlackHat, Pacsec, Syscan o Ekoparty. Tiene 40 años y el año pasado emigró a los Estados Unidos, para quedar a cargo de la seguridad y privacidad digitales de Lyft, una de las apps de transporte más importantes de ese país, que también ofrece sus servicios en Canadá. Es competencia de Uber, Beat o Didí, por citar empresas que realizan lo mismo, algunos allí y en el resto del mundo.

“Estar a cargo de la seguridad y privacidad, significa gobernar la vida de la información que recibimos nosotros; es intentar reducir la cantidad de información que recibimos, manejar bien los plazos en que mantenemos esa información y eliminarla cuando ya no es útil. Mantener la vida útil de la información a un mínimo posible teniendo en cuenta la privacidad de las personas. Proveerle a la gente toda la información que tenemos de ellos a pedido, y en caso de necesitarlo, eliminar esa información que tenemos sobre esa persona”, señala Waisman, afincado en Seattle, en el Estado de Washington, al noroeste de los Estados Unidos, cerca de Canadá. “Uno de los objetivos máximos que tenemos es resguardar la información privada de las personas, casi uno de nuestros primeros objetivos”, afirma.

Waisman también maneja el área de seguridad corporativa, de las apps, de la infraestructura y de la respuesta a incidentes. Incluso tienen un programa que premia con dinero a aquellos que logren encontrar vulnerabilidades en la empresa.

-¿Ahora los CEOs trabajan más cerca de la gente que, como vos, está en ciberseguridad? ¿Hay más conciencia de las consecuencias?

-Yo arranqué hace como 20 años y al principio era mucho trabajo de evangelización, de explicar por qué tenés que mejorar tu seguridad, por qué tenés que testearla. Mucho tenía que ver con educar al cliente o al CEO de la empresa de los riesgos que había. En los últimos años ya casi que la educación no vino para los profesionales sino que es una cuestión más de riesgo. Hubo una transformación digital muy fuerte, y con el Covid ahora mucho más, en cuanto a cuáles son los riesgos a los que uno se expone; ya no hay que convencerlos, pero sí hay que trabajar mucho con el CEO y también con ingeniería, con legales, con todas las distintas áreas. Tienen que aprender y entender cuáles son los riesgos.

-¿Qué desafíos de seguridad hay en empresas como Lyft?

-Son empresas que están constantemente trabajando en largar la próxima feature (característica), y uno tiene que encontrar el balance, como encargado de seguridad, entre no reducir esa velocidad y a la vez proveer controles de seguridad. Pasa que, tradicionalmente, la seguridad pasaba por decir ‘No, esto no lo hagas’ o ‘Dame cuatro semanas, yo testeo el producto y lo largamos al mercado’; eso ya no existe porque ya no podés frenar el desarrollo cuatro semanas. Uno ahora trabaja más de raíz, acompañando al equipo de ingeniería a medida que va preparando el producto, en todo el ciclo de desarrollo, para hacer que el producto sea seguro en el momento que se larga.

-¿La seguridad en un momento se pelea con lo comercial, con el marketing? ¿Esas peleas existen todavía, o ya se entienden más?

-Se entienden muchísimo más, pero sí: hay una negociación. Por ejemplo, en los bancos tienen el beneficio de que ya está altamente regulado, en otras empresas hay un idea y vuelta: ‘hagámoslo fácil, pero que sea seguro’. Hay formas de hacerlo y tampoco requieren mucho trabajo extra, es cuestión de alinear el trabajo de desarrollo con la gente de seguridad. Ahora, por ejemplo, el segundo factor de autenticación es mucho más sencillo de lo que era antes. Hacían preguntas de seguridad y ahora te llega un alerta en el teléfono y lo aprobás, es todo bastante rápido.

-¿Cuáles son los principales riesgos que tiene una app como Lyft?

-Principalmente nosotros intentamos resguardar la información personal. Si vos te ponés a pensar en una empresa como Lyft y lo que significa para un país una empresa de transporte, en cierta forma maneja mucho la logística del país. Si vos como atacante quisieras saber cómo se comporta una persona, esa información se encuentra en las bases de datos de las empresas de transporte. No somos parte de la infraestructura crítica, pero manejamos una criticidad de información que es muy importante, porque tiene que ver con el movimiento de las personas en un periodo de tiempo. Esa información para nosotros es crítica, toda información personal debe protegerse.

Un ejemplo: hace unos años mostraron cómo con una aplicación de seguimiento del ejercicio físico, donde también estaba la ubicación donde lo hiciste, podían identificar dónde estaban las bases militares de los Estados Unidos. Obviamente intentamos proteger a nuestra gente de ataques: hay constantemente intentos de fraude, de phishing, en nuestra infraestructura, en los empleados. Y también hay fraude en la aplicación: intentan obtener viajes gratis, ciertos cupones, hay siempre intentos de tomar ventaja de los servicios que ofrecemos.

-Con la pandemia las oficinas se atomizaron, cada casa pasó a ser una oficina, ¿Cómo hacés para tener el control con la gente fuera de la oficina?

-Nosotros tenemos una filosofía de confiar, pero verificar. Confiamos en que vos vas a tomar las decisiones adecuadas, pero, por las dudas, estamos monitoreando que lo hagas. Hay un modelo que puso Google hace no tanto tiempo, que se llama zero trust (cero confianza) en tus límites de seguridad. Nosotros no confiamos en tu red local: no importa dónde estés, nosotros vamos a trabajar en un ambiente donde sólo vas a tener acceso a las cosas autorizadas y nada más que eso. Ya no tenés el modo tradicional de antes, que estabas en una red y todas las computadoras se veían entre ellas. Ahora la idea es que si no tenés necesidad de tener acceso a la computadora que tenés al lado, no lo vas a tener, solo vas a tener acceso a la información y servicios que hace falta. No importa donde estés, la computadora se va a manejar de la forma adecuada.

-Pero si vos necesitás entrar a la computadora de al lado siempre tenés que pedir permiso. Empezamos por cero permisos y después te vamos habilitando...

-Exactamente, igual ese concepto ya no se utiliza más, los servicios se manejan en la nube. Se comparte, por ejemplo, con servicios de office online. Lo que tiene de positivo esto es que te frena los ataques de ransomware y demás, que se esparcen a nivel redes locales.

Los argentinos de Lyft

Waisman no es el único argentino en Lyft. Son alrededor de 20 en la empresa (él maneja más de 60). Uno de los directores de ingeniería también es de nuestro país. “Nos pasamos recetas de alfajores y cómo hacer rogel”, se ríe.

-¿Son valorados los recursos argentinos en términos de seguridad informática?

-Sí: Argentina arrancó muy temprano con seguridad informática y por eso, en cierta forma, los argentinos ya tenemos un currículum armado de comunidad que creció y que desarrolló tecnología de seguridad, tenemos buen recibimiento en el mundo en ese sentido. Acá igual hay una demanda increíble de profesionales de seguridad, están constantemente buscando gente. Ahora se complicó el tema de venirse para Estados Unidos por el tema de la pandemia, pero este país recibe un montón de profesionales de todo el mundo, porque la demanda es enorme, no solo en seguridad, en ingeniería también. Argentina tiene muy buen talento en las dos áreas.

-¿Faltan muchos recursos en seguridad?

-La verdad que hay mucha necesidad y el mercado argentino también está así. Está prendido fuego, es imposible conseguir a alguien. Lo positivo que tiene para nosotros, los que trabajamos en dependencia, es que tenés mucha demanda, los sueldos crecen, siempre hay una nueva start up o una nueva empresa que está buscando gente y apuesta fuerte. Acá hay muchísimas oportunidades. Especialmente en la Costa Oeste, te están constantemente llamando de distintos lugares. Las oportunidades son muy grandes, de repente estás a cargo de la seguridad de una empresa pública, y no es menor. Todo se maneja muy a escala, y hay unos desafíos increíbles. Lo económico es una locura en esta zona, siempre recomiendo venir y pasar una temporada en Estados Unidos. Acelerás tu carrera cinco, diez años.

-Volviendo al tema seguridad. Hay una preocupación muy grande respecto de ataques a grandes infraestructuras. En Kiev, una ciudad se queda sin luz, o lo de Colonial Pipeline, donde de repente la nafta pasa a valer más porque hay problemas de suministro por un ataque informático. Un ataque a Lyft, a Uber, haría subir el precio del transporte, por poner un ejemplo. ¿Qué ves vos de eso? ¿Nos tendríamos que preocupar?

-Las cosas están mejor que antes, de eso no hay dudas. Todavía va a pasar tiempo hasta que muchas empresas, especialmente de manufactura y demás, hagan esa transformación de llegar a ese punto de maduración. Ahora Joe Biden (el presidente de los Estados Unidos) estuvo muy focalizado, especialmente después de lo de Colonial Pipeline, con muchas directivas de seguridad. Por otro lado, en estos dos últimos años, con el tema de la criptomoneda, empezó a haber un camino mucho más fácil para monetizar los ataques. Pasamos de que antes se hackeaba para tener acceso a la infraestructura, ahora no importa qué empresa es, en la medida en la que vos puedas encriptar la información con ataques de ransomware, ellos te pueden pagar de forma anónima. Abrió un mundo comercial de mercado negro que se focaliza en ese negocio; muchas de las cosas ya eran posible antes, pero como que no había incentivo económico, fueron posibles en los últimos dos, tres años por esta facilitada de transferencia de dinero. Más allá de los múltiples sistemas que uno puede armar y mantener una estrategia de acceso limitado, las posibilidades siempre están. Es un balance de manejar los riesgos, y hacer la vida del atacante un poco más difícil, que el ataque de la persona sea muy caro. Es un poco la estrategia que llevó adelante Apple: dado X cantidad de esfuerzo vos vas a llegar a comprometer un teléfono, un navegador, una computadora. Pero si ese esfuerzo es lo suficientemente alto, que requiere una inversión de un año de dinero, de un grupo de gente, llega al punto que el costo va a ser mayor que el beneficio. La idea vino de Microsoft hace 10 años. Se puede ver en los ataques últimos en Chrome, que requieren de una sofisticación súper complicada, de una serie de vulnerabilidades encadenadas para poder llegar a comprometer un teléfono, un navegador y demás. Eso hace que se reduzca también la cantidad de gente que puede desarrollar esa tecnología para atacar. Entonces, en cierta forma, estás reduciendo muchísimo el riesgo.

Conforme a los criterios de

Conocé más