Hoy entrevistamos a Carlos Manchado, uno de los mayores expertos de ciberseguridad en España y hermano de nuestro patrono de la Fundación y director de Operaciones de MTP, Marcos.

Actualmente Carlos es el Global CISO de Acciona; desempeña la función de director corporativo de Ciberseguridad en la compañía y cuenta con amplia experiencia en Ciberseguridad, Riesgo Tecnológico, Continuidad y Resiliencia de Negocios. Adquirió su experiencia trabajando en grandes firmas de consultoría como EY, Accenture o Deloitte, siendo también CISO Corporativo durante más de 3 años en el Grupo Naturgy y Security, Compliance & Identity Lead en Microsoft Ibérica.

Carlos es Ingeniero en Informática por la Universidad Pontificia Comillas ICAI, donde es profesor asociado en el Máster de Ciberseguridad desde 2020, impartiendo la asignatura de Seguridad en Aplicaciones, y además posee certificaciones de seguridad como CISM, CISSP y CEH.

Fundación MTP.- Carlos, ¿qué te motivó para orientar tu carrera al campo de la ciberseguridad?

Carlos Manchado (CM).- Obviamente, y como muchos de mis compañeros, empecé a experimentar con la parte de ciberseguridad ofensiva, y descubrí el potencial que podía llegar a tener. Cuando empiezas y consigues tu primera oportunidad, te das cuenta de que hay muchos más aspectos y dominios que el “red”. Precisamente, esta diversidad y heterogeneidad, me hizo querer crecer más y más, incluyendo la parte técnica, y también la estratégica, tanto en lo tecnológico como en lo referente a procesos.

Fundación MTP.-  ¿Qué retos y oportunidades presenta la ciberseguridad en el contexto actual de transformación digital?

CM.- La ciberseguridad es un factor clave en el contexto actual de transformación digital, ya que implica el uso intensivo de las tecnologías de la información y la comunicación para mejorar la eficiencia, la innovación y la competitividad de las organizaciones. La ciberseguridad no solo protege los activos digitales de las amenazas externas e internas, sino que también habilita y facilita la adopción de nuevas soluciones tecnológicas, como la nube, el internet de las cosas, la inteligencia artificial o el blockchain, que son fundamentales para la transformación digital. Por tanto, la ciberseguridad no debe verse como un obstáculo o un coste, sino como una inversión estratégica y un factor de diferenciación y confianza.

Fundación MTP.- Recientemente te has incorporado a Acciona, una de las principales compañías españolas enfocada en soluciones sostenibles para la mitigación, la adaptación y resiliencia al cambio climático mediante el desarrollo y gestión de infraestructuras y servicios, especialmente en energías renovables. ¿Qué papel juega la ciberseguridad en una compañía global y referente a nivel internacional?

CM.- La ciberseguridad es un elemento estratégico para Acciona, ya que nos permite desarrollar y gestionar soluciones sostenibles e innovadoras en los sectores de infraestructuras y servicios, con los más altos estándares de calidad y seguridad. Somos conscientes de que la ciberseguridad es un factor de confianza para nuestros clientes, socios y proveedores, así como para nuestra reputación y competitividad en el mercado global. Por ello, contamos con un equipo de profesionales especializados en ciberseguridad, que se encargan de proteger nuestros activos digitales, prevenir y responder a los posibles incidentes, y garantizar la continuidad del negocio y la resiliencia ante las adversidades. Como muestra de nuestro compromiso con la ciberseguridad, hemos obtenido y mantenemos las certificaciones ISO 27001 e ISO 22301, que acreditan la implantación y el mantenimiento de un sistema de gestión de la seguridad de la información y de la continuidad del negocio, respectivamente. Estas certificaciones reconocen nuestro esfuerzo por mejorar continuamente nuestra ciberseguridad y adaptarnos a los cambios y retos del entorno digital.

Fundación MTP.- En el contexto actual, ¿Qué riesgos o amenazas existen para la seguridad informática en las empresas y cómo podemos prevenirlos o mitigarlos?

CM.- La ciberseguridad es un reto constante para las empresas, que se enfrentan a riesgos y amenazas de diversa naturaleza y origen. Algunos de los riesgos más relevantes son: el robo o la pérdida de datos sensibles, que puede afectar a la reputación, la competencia o la legalidad; los ataques de ransomware, que pueden paralizar los sistemas informáticos y exigir rescates económicos; los ciberataques dirigidos, que pueden tener motivaciones políticas, económicas o ideológicas; o los incidentes causados por errores humanos o fallos técnicos, que pueden comprometer la continuidad del negocio o la prestación de servicios.

Para prevenir o mitigar estos riesgos, las empresas deben adoptar una serie de medidas y buenas prácticas, tales como: contar con una estrategia de ciberseguridad alineada con los objetivos y valores de la organización; implementar soluciones tecnológicas adecuadas para proteger los sistemas y los datos; formar y concienciar al personal sobre los riesgos y las responsabilidades en materia de ciberseguridad; establecer protocolos y procedimientos para la gestión de incidentes y la recuperación de la actividad; o colaborar con otras entidades y organismos para compartir información y experiencias sobre ciberseguridad.

Fundación MTP.- ¿Qué tipo de soluciones tecnológicas utilizáis en Acciona para garantizar la ciberseguridad de vuestros sistemas y datos?

CM.- En Acciona utilizamos un conjunto de soluciones tecnológicas que nos permiten proteger, monitorizar, detectar, responder y recuperarnos de posibles incidentes de ciberseguridad. Todas estas soluciones se integran en un Centro de Operaciones de Seguridad, que es el encargado de coordinar y gestionar las actividades de ciberseguridad de forma centralizada y eficiente. El modelo, como no puede ser de otra manera, es muy similar al de otras grandes multinacionales.

Buenas prácticas de seguridad

Fundación MTP.- Y de forma particular para las personas, ¿qué medidas o buenas prácticas recomiendas para proteger nuestra información y privacidad en el entorno digital?

CM.- Para proteger nuestra información y privacidad en el entorno digital, es importante seguir algunas medidas o buenas prácticas que nos ayuden a evitar los riesgos de ciberataques. Entre ellas, recomiendo:

– Tener un antivirus que sea de pago y que esté actualizado. Los antivirus gratuitos suelen tener menos funcionalidades y protección que los de pago, y pueden dejar vulnerabilidades en nuestros dispositivos.

– Usar MFA o Segundo Factor de Autenticación en todos los servicios que sea posible. Esta medida consiste en añadir una capa extra de seguridad al proceso de inicio de sesión, que puede ser un código enviado al móvil, una aplicación específica o un dispositivo físico. Así, aunque alguien consiga nuestra contraseña, no podrá acceder a nuestra cuenta sin el segundo factor.

– Utilizar contraseñas robustas y únicas para los diferentes servicios. Las contraseñas deben ser largas, complejas y difíciles de adivinar, y no debemos usar la misma para varios servicios, ya que, si uno se ve comprometido, los demás también lo estarán. Para gestionar las contraseñas, se puede usar un gestor seguro que las almacene y genere por nosotros.

– Actualizar todos nuestros dispositivos y aplicaciones. Las actualizaciones suelen incluir parches de seguridad que corrigen las vulnerabilidades detectadas. Si no actualizamos, estamos expuestos a ataques que pueden aprovecharse de esos fallos.

– Desconfiar siempre cuando usemos el correo electrónico o naveguemos por internet. Muchos ciberdelincuentes usan técnicas de phishing o malware para engañarnos y obtener nuestra información personal o infectar nuestro equipo. Debemos verificar la identidad del remitente, el contenido y los enlaces del mensaje, y no descargar archivos sospechosos o de fuentes desconocidas.

– Por supuesto, tener una copia de seguridad de nuestros datos “desconectado” de internet. Esta medida nos permitirá recuperar nuestra información en caso de que suframos algún incidente que borre, dañe o cifre nuestros archivos. La copia de seguridad debe estar almacenada en un medio externo, como un disco duro o una memoria USB, y no conectado a la red, para evitar que sea afectado por un ataque.

Fundación MTP.-  ¿Qué habilidades y competencias consideras imprescindibles para trabajar en ciberseguridad?

CM.- Creo que las habilidades y competencias imprescindibles para trabajar en ciberseguridad son la curiosidad, la inquietud y las ganas de aprender. La ciberseguridad es un escenario muy dinámico, donde las amenazas y los retos cambian constantemente. Por eso, se requiere una formación continua y una actualización constante de los conocimientos y las habilidades. Además, hay que saber mantener la calma y actuar con rapidez y eficacia ante situaciones muy extremas, donde puede estar en juego la seguridad de personas, organizaciones o incluso países. La ciberseguridad no es solo una cuestión técnica, sino también legal, ética y social, por lo que se necesita una visión amplia y crítica del mundo digital.

Fundación MTP.- ¿Qué consejos darías a las personas que quieran formarse o especializarse en ciberseguridad?, ¿y en concreto a tus alumnos de la universidad?

CM.- Mi consejo para las personas que quieran formarse o especializarse en ciberseguridad es que tengan una motivación natural por aprender todas las novedades que surgen en este campo tan cambiante y apasionante. La ciberseguridad no se puede estudiar de una vez y olvidarse, sino que hay que estar siempre al día de las tendencias, las técnicas, las herramientas y los desafíos que plantea el mundo digital. También es importante tener una base sólida de conocimientos teóricos y prácticos sobre informática, aplicaciones, cloud, redes, criptografía, legislación y ética, entre otros aspectos.

A mis alumnos de la universidad les animo a que se eleven para ver el bosque de la seguridad antes de elegir su árbol. Es decir, que tengan una visión global y estratégica de la ciberseguridad, que comprendan los principios, los objetivos, los riesgos y las medidas que se pueden adoptar para proteger la información y los sistemas. Luego, pueden profundizar en el área que más les interese o les guste, como la seguridad ofensiva, la defensiva, la forense, la auditoría, GRC, el análisis de malware, etc. Pero siempre con una perspectiva integradora y multidisciplinar, que les permita colaborar y comunicarse con otros profesionales del sector.

El papel de la ciberseguridad para la inclusión social

Fundación MTP.-  Carlos, ¿Qué papel juega la ciberseguridad en el puente tecnológico de reducción de la brecha digital y el fomento de la inclusión social?

CM.- Creo que la ciberseguridad es un factor clave para garantizar la inclusión social y el acceso equitativo a las oportunidades que ofrece la tecnología. La brecha digital no solo se refiere a la disponibilidad de dispositivos o conexiones, sino también a la capacidad de usarlos de forma segura y responsable, protegiendo nuestra identidad, nuestra privacidad y nuestros derechos. Sin una adecuada educación y concienciación en ciberseguridad, muchas personas pueden quedar excluidas o vulnerables ante los ciberataques, el cibercrimen o el ciberacoso. Por eso, creo que debemos fomentar una cultura de ciberseguridad desde edades tempranas, que promueva el uso ético y sostenible de la tecnología, y que empodere a los ciudadanos para que sean agentes activos de su propia seguridad.

Fundación MTP.- ¿Qué beneficios o ventajas aporta la ciberseguridad a la calidad digital y al desarrollo sostenible?

CM.- La ciberseguridad es un factor esencial para garantizar la calidad digital y el desarrollo sostenible, ya que contribuye a crear un entorno tecnológico más seguro, confiable y resiliente. La calidad digital implica asegurar que los productos, servicios y procesos digitales cumplan con los requisitos y expectativas de los usuarios, ofreciendo una experiencia satisfactoria y generando valor. La ciberseguridad ayuda a mejorar la calidad digital, protegiendo los activos y los datos de las organizaciones y los individuos, previniendo los incidentes y las vulnerabilidades, y facilitando la recuperación y la continuidad en caso de crisis. Asimismo, la ciberseguridad apoya el desarrollo sostenible, alineándose con los objetivos de la Agenda 2030 de las Naciones Unidas, como la erradicación de la pobreza, la educación de calidad, la igualdad de género, el trabajo decente, la innovación, la paz, la justicia y las alianzas. La ciberseguridad es, por tanto, un elemento clave para construir una sociedad digital más inclusiva, equitativa y responsable.

Fundación MTP.- Finalmente Carlos, como profesional y como persona, ¿Qué te parece la labor que se realiza desde la Fundación MTP y otras organizaciones en favor de la reducción de la brecha digital y la divulgación de la calidad?

CM.- Me parece una labor muy importante y necesaria, que tiene un impacto positivo en la sociedad y en el sector digital. La brecha digital es una realidad que afecta a millones de personas, especialmente a las más vulnerables, y que limita sus oportunidades de acceso a la educación, al empleo, a la salud y a la participación ciudadana. La calidad digital es una herramienta fundamental para reducir esta brecha, garantizando que los productos, servicios y procesos digitales sean accesibles, usables, seguros y confiables para todos los usuarios, independientemente de su edad, género, ubicación o capacidades. La Fundación MTP y otras organizaciones realizan una labor admirable de divulgación, sensibilización y formación en materia de calidad digital, contribuyendo a generar una cultura de calidad entre los profesionales, las empresas y la ciudadanía. Creo que esta labor es esencial para construir un futuro digital más humano, inclusivo y sostenible.