<p>Suena el teléfono móvil. Quien llama se identifica como parte del equipo de recursos humanos de la empresa donde trabaja el profesional. Es una voz de mujer, acento inevitablemente castellano, pequeñas pausas en la dicción. La petición es sencilla: quiere información básica sobre el empleado para actualizar la base de datos. Responde el interlocutor que está en mitad de una reunión y no puede atender la llamada como corresponde. Ella le tranquiliza, no hay problema, enviará su solicitud por correo electrónico. La conversación termina ahí.</p>
Combinando ciberseguridad e IA, la startup nacida en Ciudad Real entrena al eslabón humano, el más débil de la cadena empresarial, para estar a salvo de deepfakes, phishing, vishing y otros timos en auge
Suena el teléfono móvil. Quien llama se identifica como parte del equipo de recursos humanos de la empresa donde trabaja el profesional. Es una voz de mujer, acento inevitablemente castellano, pequeñas pausas en la dicción. La petición es sencilla: quiere información básica sobre el empleado para actualizar la base de datos. Responde el interlocutor que está en mitad de una reunión y no puede atender la llamada como corresponde. Ella le tranquiliza, no hay problema, enviará su solicitud por correo electrónico. La conversación termina ahí.
En un mundo ideal, esta sería una interacción más en la cascada de trámites que atosiga al trabajador aplicado. Pero, tal y como señala el Foro Económico Mundial, desde el estreno en noviembre de 2022 de la primera versión de masas de ChatGPT, los «ataques de ingeniería social» se han desmelenado un 1.200%. Tan sofisticadas son las herramientas de las que disponen los malos gracias en parte a la IA que la trampa puede estar en cualquier parte, incluyendo el meloso timbre de la compañera de recursos humanos.
Para sortear esas brechas existe Zepo, startup nacida en 2021, fundada en Ciudad Real por los ingenieros Antonio Muñoz (CEO) y Enrique Holgado (COO) y diseñada para simular ataques en compañías, administraciones públicas e incluso servicios de inteligencia, identificar las debilidades del eslabón humano y controlar y alertar en tiempo real de una posible maldad, ya sea el clásico phishing (que llega por email) o los más sofisticados smishing (mensajes de texto con links), vishing (llamadas de voz) o deepfake video.
A Muñoz le gusta referirse a la pirámide de Maslow, la teoría forjada en 1943 por el psicólogo estadounidense que presta su apellido a la figura para jerarquizar las necesidades de la humanidad. A su juicio, los líderes del área de ciberseguridad en las grandes organizaciones han entendido al fin que no tiene sentido «proteger los sistemas dejando para los escalones superiores el riesgo humano». El problema es que el cibercrimen sabe lo fácil que es traspasar la coraza de una persona, mucho más fina que la de cualquier empresa de cierta entidad. La pirámide ha recolocado algunas de sus piezas clave.
Zepo opera con varias hipótesis. Sabe que no todo profesional es igual de ducho en el ámbito tecnológico, así que permite que cada entrenamiento se adapte al nivel acreditado. Además, la formación no es pasiva: pone el acento en las interacciones que el usuario ha tenido con ese tipo de riesgos y le señala dónde fijar la atención y cómo destapar el ardid. «Hacemos un estudio integral de la fenomenología desde el ángulo deep tech, con vectores de ataque que ningún competidor incorpora en su catálogo de soluciones», afirma el CEO. «Intentamos construir un sistema donde todo esté centralizado y cada elemento se comunique con el resto. La tecnología cada vez es mejor y cada vez resulta más complicado destapar el engaño».
Ante el riesgo de confusión, Muñoz matiza: «No somos un recurso formativo sin más». Zepo actúa en realidad como una capa de seguridad que funciona desde la nube o se inserta en el ecosistema de la empresa para lanzar alertas en tiempo real propulsada por la IA, igual que haría el antivirus de un ordenador personal. «El reto de la industria de la ciberseguridad es
decidir cómo interactúa el usuario con esta tecnología. ¿Queremos una relación pasiva donde -como en un smartphone- el software se encarga de todo» entre bambalinas? «¿O preferimos mucho más conocimiento y control? Me gustaría que cualquier empleado interactuase con la plataforma como lo hace cuando accede a Glovo y pide comida, con usabilidad y dinamismo».
A favor del proyecto juega la normativa. Ese paraguas que conforman la ISO 27001 (sistemas de gestión de seguridad de la información), la directiva NIS2 (seguridad de las redes y sistemas de información) o el reglamento DORA (resiliencia operativa digital) hace hincapié en la necesidad de pertrechar al empleado ante el torbellino del cibertimo. Algo ha debido ver Google, que incluyó a Zepo hace año y medio entre las 15 startups más innovadoras del planeta en la confluencia entre IA y ciberseguridad. O Nvidia, AWS y Crowdstrike, cuya aceleradora también eligió a la compañía española para completar el programa. O gestoras de venture capital como Kibo, la alemana eCapital y la holandesa TIN Capital, protagonistas de una ronda de inversión anunciada en enero y que se eleva a 15 millones de dólares (12,8 millones de euros). Muñoz no ofrece cifras de facturación, pero sí se atreve a estimar que la de 2026 oscilará entre los cinco y los diez millones. Zepo tiene oficinas en Madrid, México DF, Nueva York y Tel Aviv.
Augura Zepo un futuro aún más intrincado. Ya no se trata sólo de criminales actuando entre las sombras, sino de bots adiestrados para hacer daño en la misma o mayor medida. «Ahí se plantea un debate moral: ¿Quiero ser yo quien descubra una manera diferente de estafar para desarrollar la solución o quiero ser simplemente reactivo? En mi opinión, hay que trabajar en la predicción y el análisis masivo de datos en busca de correlaciones».
En este endiablado contexto, la ciberseguridad terminará convertida en una commodity donde organizaciones y particulares querrán engordar su escudo en la misma medida. Muñoz regresa a Maslow y su pirámide: «¿Por qué cierras con llave la puerta de tu casa? ¿Por qué pones una verja en la ventana o una alarma en el edificio? Porque la seguridad es uno de los cimientos de nuestra sociedad. A la puerta digital habrá que colocarle un dispositivo parecido. Y a nuestros hijos habrá que enseñarles qué precauciones deben tener cuando están en las redes sociales o se conectan con otros jugadores en la consola».
Puede parecer increíble, pero el germen de Zepo es el cabello pelirrojo del CEO. Esa condición le ponía de pequeño en el punto de mira de los matones del colegio y moldeó una sensibilidad especial que se reactivó al ser padre. Muñoz pensó en el acoso llevado al plano digital, en esa picadora de carne 24/7, y así terminó creando su propio salvavidas, uno más adulto y universal
Actualidad Económica
