De profesión, ingeniero electrónico, Patiño lleva 25 años trabajando en el mercado de ciberseguridad y tecnología en organizaciones y cuatro años en Lumu, una startup con un mensaje bien claro: ayudar a clientes y empresas a entender su nivel de compromiso de ciberseguridad, algo que él define como poder medir la cantidad o el tipo de contacto que tienen esas organizaciones con infraestructura adversaria.
“Ayudamos a las organizaciones a ver qué [elementos] dentro de su infraestructura de tecnología está teniendo contacto con agentes maliciosos: phishing, malware, troyanos, ransomware y ayudarles a responder automáticamente a esos problemas”.
Desde su posición, Patiño supervisa desde México hasta Brasil, pero ahora tienen un interés especial por Chile, país en el que estuvo hace poco
¿Qué los trajo a Chile?
Hicimos una reconfiguración de Chile como territorio y estamos haciendo unas inversiones en poder atenderlo con mayor fuerza. Parte de ello fue concretar algunas contrataciones que nos ayudan a tener mucha más presencia local, porque lo que creemos es que Chile tiene un momento muy interesante en ciberseguridad, asimismo como ha venido ocurriendo con la ley marco de ciberseguridad, que para mí es como el plateu de muchos esfuerzos que ha venido haciendo ese país en el ejercicio de ciberseguridad en los años pasados. Estamos en el proceso de expansión también dentro de Chile, de crecimiento en el equipo que atiende el territorio. Y eso viene con todo lo que significa oficinas, etc.
Es común entre los periodistas chilenos preguntar cómo está el país en cualquier tema, versus el resto del continente. Para no romper la tradición de auto referencia, ¿Cómo está Chile en ciberseguridad?
Diría que busca ponerse al liderazgo en Latinoamérica con este tipo de leyes, pues es muy interesante desde la definición del 2023 de la política de ciberseguridad. Ahí comienza a haber una mezcla de un territorio muy maduro en el ejercicio de ciberseguridad, en la legislación, en cómo las organizaciones están atendiendo el esfuerzo. Pero al mismo tiempo está como la cara del aumento en ataques tipo del primer trimestre del 2025, un aumento del 200% en el territorio, puntualmente en Chile. Entonces en esta mezcla de la evolución del marco de la ley de los buenos esfuerzos, también están como los adversarios aprovechando eso para poder recabar la información que concluyen en ataques. Para una organización como Lumu, Chile es un territorio donde queremos tener muchísima más presencia de la que hemos tenido históricamente, digamos que teníamos clientes muy relevantes, partners de negocios muy relevantes, pero en este año se vuelve uno de los lugares que, por esta mezcla de madurez en ciberseguridad con el tema de los ataques, hay como un ambiente bien interesante para comenzar a hacer esfuerzos allí en el ejercicio de ciberseguridad.
¿Está creciendo -entonces- el mercado, en cuánto a firmas de ciberseguridad y de adopción de medidas contra los ciberataques?
Déjame ponerlo así: el crecimiento de los ataques en Chile del primer trimestre del 2025 es del 200%, pero, en general, toda la región está creciendo: estamos detectando casi 16 incidencias de InfoStealers por minuto en el territorio, lo cual hace que se necesite una aproximación, puedo usar la palabra más agresiva en cuanto a la situación de ciberseguridad de las organizaciones en Chile.
Mencionaste algo nuevo para mí: el InfoStealer, ¿o sea un ladrón de información?
Exactamente, InfoStealer es una familia bien agresiva de malware que está diseñada para robar información relevante de las organizaciones y de los usuarios. Digamos que viene de la evolución del troyano bancario que estaba diseñado para robar usuario y contraseña del banco y pasa que esta InfoStealer ya no sólo roba al usuario la contraseña, sino que tiene capacidades de robar muchísima más información sensible del ejercicio de un usuario, y eso está siendo utilizado para hacer ataques, para diseñar ataques más profundos.
Tengo la idea de que el país no está tan avanzado en legislación pro-ciberseguridad, que quizás es uno de los que están medio rezagados.
Chile tiene una mezcla muy interesante entre regulación del mercado y ejercicio de ciberseguridad. Es uno de los países a nivel organizacional, a nivel de empresas y a nivel gubernamental más maduros en el ejercicio de ciberseguridad. En conjunto con Colombia, Chile y Brasil. Y ahora se está metiendo allí un poquito Argentina a ese ejercicio, a países maduros en el ejercicio de ciberseguridad. Lo que pasa es que los ataques responden infinitamente a ese proceso de madurez. No es que tu dices ‘ah, yo ya soy maduro aquí, ya no me preocupo más por este problema’. No. Los ataques evolucionan al ritmo de madurez del mercado. ¿Por qué? Porque los atacantes son oportunistas. Dicen, ‘ah, si tú eres maduro, yo simplemente evoluciono al ataque para tu nivel de madurez y hago el ataque’.
¿Pero cómo han visto ustedes que se protegen las empresas? ¿Será que falta concientización entre pymes, por ejemplo?
Como lo vemos nosotros, es que hay distintos niveles de madurez. Tal vez el sector más maduro en el ejercicio de ciberseguridad es el sector financiero, porque históricamente tenía cosas que hacer. Luego le sigue el sector gubernamental. Y luego comienzas a tener una mezcla muy interesante de verticales y niveles. Hay empresas pequeñas, pymes, que son muy maduras en ciberseguridad, y empresas grandes de ciertos sectores que como su sector no era intrínsecamente relacionado con tecnología, pues no tienen un nivel de madurez y son empresas gigantes. Entonces lo que queremos hacer es, hay una buena oportunidad como para crear una línea base de mercado del ejercicio de ciberseguridad. Y eso es lo que lo queremos hacer a través de nuestra oferta de medición continua de compromiso.
¿En qué consiste ese concepto?
La ‘medición continua de compromiso’ tiene tres grandes componentes. Lo primero es que tú no puedes solucionar o no puedes atender lo que no mides. En ciberseguridad y en las organizaciones necesitas medir y entender y tener visibilidad de cuál es tu problema de ciberseguridad. El problema es que históricamente las organizaciones no han hecho eso continuamente…lo han hecho una vez al mes, una vez al trimestre, una vez cada seis meses, una vez al año. La medición continua de compromiso es hacerle entender a la organización que tiene que medir continuamente cuál es su problema de ciberseguridad para poder responder correctamente a eso. Manteniendo el mismo símil de la salud, imagínate algo que te está midiendo continuamente.
Y cuando hablamos de contacto con infraestructura adversaria, yo uso siempre un ejemplo de los niños. Si tú tienes un niño, si tienes hijos o si tienes un niño pequeño cercano, no habría ninguna razón para que ese niño esté hablando con alguien que está, por ejemplo, en una cárcel. No existe ninguna razón para que ese niño esté en contacto con alguien que está en una cárcel. De la misma manera, no existe ninguna razón, y sí, tú haces esa cara porque no te interesa saber qué están hablando ni siquiera. O sea, no deberían estar en contacto: ningún activo de tecnología de ninguna organización debería estar en contacto con infraestructura adversaria. No hay razón para que eso no esté bien.
LEY DE CIBERSEGURIDAD
Ok, ahora con respecto a la ley de ciberseguridad, para el caso chileno va a estar full operativo en diciembre del otro año, ¿Qué desafíos ves que tiene su implementación?
Digamos que uno de los retos de este tipo de leyes es quién es el dueño de la ley, o sea, quién es el dueño operativo de la ley y quién opera la ley y cómo se gestionan los diferentes esfuerzos. En los países están los esfuerzos que tienen que ver con el Estado, los esfuerzos penales, los esfuerzos administrativos y los particulares. Es cuando generalmente se trabaja en una ley de ese tamaño. Uno de los grandes retos que tienen como país es cómo se orquesta eso debajo de la ley. ¿Quién orquesta eso? ¿Quién hace el ejercicio táctico de la ley? ¿Cómo se une el sector privado con el público? Pues ahí es donde hay todavía muchos pasos que dar y que gestionar en cuanto a esa, en cuanto a la operatividad de esa ley.
¿Qué pasos faltan que sean como para destacar?
Un paso clave es la operatividad de la ley, la operatividad de la ley entre el sector público y privado: ¿dónde se reportan los casos? ¿Quién atiende los casos? ¿Qué gestionan los casos? ¿Dónde está el punto de conexión entre lo táctico, que es quién atiende cuando hay un caso de ransomware y, por ejemplo, lo penal y lo legal? Generalmente hay mucho trabajo que hacer para que esas dos áreas, el que atiende el caso per se y el que tiene que darle la legalidad y la atención legal y penal y legislativa a esos casos. Ahí hay mucho trabajo todavía fino, que ya es como el trabajo fino. Está la ley en su, la ley tiene como su espíritu muy claro y ahora hay que entretejer todas las organizaciones.
Claro, pero ¿no existe ya una organización estatal con privados que es el CSIRT?
Hay muchas entidades ya creadas. Claro, están los CSIRT…públicos, privados del sector financiero, de las diferentes fuerzas. Está la parte policía también que ya están operando en ciberseguridad. La ventaja es que en Chile todas esas organizaciones ya están operando.
El tema es cómo la ley entreteje el ejercicio de todos esos. Uno de los grandes retos, por ejemplo, en otros países es, tienes el dueño que, por ejemplo, que CSIRT es el dueño de atender y de atender, por ejemplo, los casos de ransomware. Hay muchos niveles cooperativos que hay que esperar que vayan madurando y que vayan teniendo esas líneas de interoperabilidad.
O sea, los atacantes no se detienen basados en el nivel de madurez. No es algo que digan, ah, si ya Chile, Colombia y ellos tienen una agencia de ciberseguridad, entonces es un país que no vamos a atacar.
No, desafortunadamente [los ciberdelincuentes] saben cómo evolucionar infinitamente sus ataques a los diferentes niveles de madurez. Claro, tienes un ambiente mucho más propicio para tener la conversación de ciberseguridad, para que haya leyes que entiendan cómo judicializar o penalizar a los atacantes, para que haya interconectividad en los diferentes estamentos, tanto del gobierno como privados, que le permite, por ejemplo, que una organización tenga ya por ley que compartir o que reportar sus incidencias de ciberseguridad. Al final del día lo que ayuda es a tener un mercado más fuerte, donde el flujo de información va a los lugares correctos. Eso es un alto nivel de madurez. Hay mercados y hay países que les ha tomado muchos años poder llegar a exigir que los ciberataques sean reportados. Un ciberataque que no es reportado deja ciego al resto del mercado. Puede estar viviendo el mismo ataque y al no haber exigencias de reportes, simplemente eso se queda allá. Y eso lo toma como ventaja el atacante.
Me imagino que el sector de la ciberseguridad ahora se profesionaliza aún más y también al existir un requerimiento legal, digamos, va a crecer ese mercado. No sé si lo han estimado en cuanto podría crecer el mercado como tal, o ustedes si tienen alguna meta de crecimiento para este año y el que sigue.
Lumu viene con unas metas de crecimiento muy interesantes, ya que el mercado global de ciberseguridad está valorado en aproximadamente US$ 165 mil millones en 2025. Algunas fuentes proyectan cifras cercanas, y otras estiman hasta US$ 180mil millones, pero el consenso ronda los US$ 165 mil millones para este año. Entonces, es un mercado gigante de ciberseguridad, donde además las organizaciones necesitan hacer inversiones. Y por eso tenemos unas metas de crecimiento muy alineadas a los requerimientos de mercado en termos de ciberseguridad, previendo un crecimiento expansivo sobre todo en toda la región sur de Latinoamérica: en Brasil venimos de haber crecido el 700% el año pasado y en Chile el 47%. Para Chile, también las estimaciones varían según la metodología. Algunas fuentes especializadas sitúan el mercado local de ciberseguridad en US$ 150 millones para 2025, aunque análisis recientes indican que el mercado chileno podría estar creciendo más rápido, con proyecciones de US$ 800 millones para el 2028. Por lo tanto, una estimación razonable y conservadora para 2025 sería un rango de US$ 500 a 600 millones.
Es interesante también que ustedes, como latinoamericanos, estén llegando a Europa mediante adquisiciones
Así es. Adquirimos Maltiverse, una empresa de inteligencia de amenazas con sede en España especializada en fuentes de amenazas seleccionadas e indicadores maliciosos de compromiso (IOC por sus siglas en inglés) que tiene unas capacidades de calificación de esa inteligencia, de esas amenazas, buscando con ello darles más información y más potencialidad y más capacidades a nuestros usuarios. Cuando tienes esas amenazas es muy importante poder decir qué tan grave es la amenaza para poder priorizarlo. Y esta empresa tiene una solución muy avanzada para calificar esas amenazas. También la vemos como un punto de inflexión para nuestra estrategia de expansión en Europa. Pero, por lo pronto, vamos a poner esa adquisición al servicio del mercado de Latinoamérica.
Sobre el Autor(a)
