Willy Obispo, Jefe de Servicio del Centro de Ciberseguridad Ayuntamiento de Madrid: «La tecnología está al servicio de la seguridad, no al revés»
Funcionario TIC con una amplia trayectoria en ciberseguridad (especialmente en sistemas de gestión de seguridad de la información, identificación y tratamiento de riesgos, políticas de seguridad y respuesta a ciberincidentes), Guillermo «Willy» Obispo es el jefe del Centro de Ciberseguridad del Ayuntamiento de Madrid desde diciembre de 2021. Conocido y reconocido también por su sentido del humor, cuenta con formación técnica avanzada en informática, incluyendo títulos de Ingeniería Técnica e Ingeniería Superior en Informática por la UNED, así como un máster universitario en Sistemas y Tecnologías de la Información. Ha trabajado en diferentes roles relacionados con la seguridad informática y auditoría en la administración pública desde 1994 y destaca por su enfoque creativo y didáctico en su trabajo en ciberseguridad pública.
Entrevista con Guillermo «Willy» Obispo es el jefe del Centro de Ciberseguridad del Ayuntamiento de Madrid
¿Qué supone para una ciudad como Madrid contar con un centro propio de ciberseguridad municipal?
Me gustaría responder desde las dos caras de la moneda. Nos hemos «quitado los ruedines» hace mucho tiempo y quiero pensar que la ciudad se beneficia de poder contar con una unidad en crecimiento, dotada tanto presupuestaria como humanamente con una gran capacidad para la detección, respuesta y prevención de amenazas, sin necesidad de depender directamente de terceros, pero con autonomía para adaptar la seguridad a la realidad de lo que ocurre en Madrid. Aunque CCMAD también se beneficia por simbiosis de participar en una competición enorme, donde desarrollar y ejercitar sus recursos en un heterogéneo y elevado conjunto de entornos.
¿Cuáles son los principales retos de seguridad digital a los que se enfrenta un ayuntamiento de gran tamaño en su día a día?
Es imposible acotar esa respuesta, precisamente por la amplitud de la superficie a la que hacía referencia en la pregunta anterior. Nuestras responsabilidades incluyen desde la clásica defensa de los sistemas de información corporativos, como puede ser el Padrón municipal, hasta velar por la seguridad de los activos urbanos que se despliegan en la calle a través de sensores, actuadores o incluso paneles informadores, pasando por los servicios para el personal interno y teniendo en cuenta que hay que hacer equilibrios -como en cualquier otra organización con sistemas heredados, proveedores externos, un volumen de personal elevado y el cumplimiento de la normativa. Es imposible aburrirse y como me gusta concretar la respuesta a lo preguntado, diría que el principal reto que yo observo sería elegir dónde se encuentra el mayor riesgo sobre el que actuar en cada momento porque no sé puede hacer todo a la vez.
¿Qué diferencia el enfoque de ciberseguridad de una administración local respecto a la de la Administración General del Estado o a la de una gran empresa privada?
Respecto a otras administraciones, sin duda, la cercanía. Nosotros estamos protegiendo los trámites y servicios que afectan a las personas en sus casas, en sus barrios. No digo que no haya en la AGE casos con una tesitura similar, pero no es tan habitual, ni tan directo. Respecto al sector privado, a pesar de considerarnos privilegiados dentro de las AAPP, no tenemos el presupuesto de una multinacional y eso nos obliga a ser creativos, pero tenemos la ventaja que nos aporta la agilidad de quien está pegado al terreno.
¿Qué papel juegan tecnologías como la inteligencia artificial, la analítica avanzada o el cloud en la defensa del Ayuntamiento?
Empiezo por el final con un descargo de responsabilidades: Todas esas cosas son herramientas, no milagros. Y ahora la chicha. Estamos utilizando la IA para priorizar alertas (tenemos más de 20.000 eventos de seguridad por segundo) o detectar patrones sospechosos a través de indicadores de compromiso complejos y una estrategia multicloud para la prestación de nuestros servicios, que nos permite escalar con gran velocidad y flexibilidad, pero sin hipotecarnos. En cualquier caso, lo más importante aquí es entender que la tecnología está al servicio de la seguridad, no al revés.
¿Hasta qué punto se están desplegando iniciativas de colaboración público-privada en materia de ciberseguridad urbana?
Cada vez más. No solo en CCMAD o el Ayuntamiento de Madrid. La protección es una responsabilidad que nos une a todos porque nos afecta por igual. Aquí cabe subrayar el meritorio trabajo que realiza el Centro Criptográfico Nacional. No existe otro camino que avanzar de la mano. Además de la prestación directa de SIA como adjudicatario de nuestro contrato de ciberseguridad gestionada, nosotros tenemos proyectos conjuntos con universidades y empresas, como el laboratorio IoTMadLab, participamos en foros nacionales, tales como la Red Española de Ciudades Inteligentes (RECI) e internacionales, como la Comunidad de Prácticas en Cyberseguridad (CoP) de Eurocities, donde se habla de ciberseguridad urbana con mayúsculas, colaboramos en iniciativas de difusión de la cultura de la ciberseguridad como el programa #Include de la fundación GoodJob y la asociación ProtAAPP a la que también pertenezco o cosas tan chulas como un Bug Bounty nocturno con recompensas para hackers en los eventos de RootedCON en Madrid y Lisboa.
¿Qué tendencias cree que marcarán la ciberseguridad en las administraciones públicas de aquí a cinco años?
No soy el oráculo de Delfos, pero a título personal, me la juego un poco. Apuesto fuerte por un crecimiento importante en mecanismos de automatización, mayor colaboración entre administraciones y, probablemente, también mayor presión normativa. Además, seguro que pronto veremos a las IAs entrando en la gestión de vulnerabilidades y cómo aparecen nuevos centros de ciberseguridad locales. Bueno, y por supuesto, más ataques de los que aún no hemos oído hablar. Eso no va a parar.
Desde su experiencia, ¿qué consejo daría a los responsables de innovación y tecnología de otros ayuntamientos que no tengan aún un centro de ciberseguridad propio?
Mi consejo es que empiecen ayer. No hace falta montar un SOC de película, pero sí tener claro cuál es su lista de activos a proteger, cómo van a responder (hay que desarrollar playbooks propios) y quién es responsable de que ocurra cada cosa. Lo más importante siempre son las personas, por eso es vital asignar la correcta en cada caso, pero también saber cuándo y cómo puede ser localizada. Recuerdo haber aprendido mucho sobre esto unos meses antes de montar nuestro SOC, con la lectura de «11 Strategies of a Word-class Cybersecurity Operations Center» de Kathryn Knreler, Ingrid Parker y Carson Zimmerman.
¿Cuál ha sido el incidente o situación más compleja que ha tenido que gestionar y qué enseñanza extrajo?
Esa pregunta tiene muchas respuestas distintas en función del enfoque. Así que voy a dar varias. El primero fue, igual que para muchos otros, el famoso WannaCry que a mí me pilló trabajando en la Intervención General de la Administración del Estado. Tuvimos la suerte de que nuestro trabajo previo estaba más o menos bien hecho y la afectación fue menor, pero esa fue la primera vez en que me tocó atender a la respuesta de una crisis compleja en tiempo real y aprendí la importancia de anticiparse proactivamente reduciendo la reactividad al máximo posible. Ya en el Ayuntamiento de Madrid y sin querer dar muchos detalles, me ha tocado sufrir algunos accesos ilegítimos en los que aprendimos que sin trazabilidad no hay defensa posible. Puedes tener el mejor cortafuegos del mundo, pero si no sabes qué pasó por él, estás vendido. Me dejo para el final un caso que siempre cito por lo sorprendente del desenlace. Me refiero al incidente con Crowdstrike del 19 de julio de 2024. Después de recibir las primeras alertas e identificar con cierta velocidad el origen del problema, identificamos nuestra vía de solución y nos pusimos a aplicarla, pero tras recuperar los servicios básicos para el funcionamiento de la infraestructura municipal nos hicimos la siguiente pregunta: ¿Qué servicios del Ayuntamiento deberían ponerse en funcionamiento los primeros? Hubo opiniones para todos los gustos, pero actuamos según teníamos contemplado en el manual, preguntando a «Negocio» -en nuestro caso Alcaldíay nos encontramos con una respuesta que ninguno habríamos anticipado: Las piscinas y las bibliotecas. WTF!? En aquel momento estábamos en mitad de una intensa ola de calor y había que asegurar que la ciudadanía tuviera acceso a los refugios climáticos. Reconocedlo, vosotros tampoco lo habríais visto venir. Una vez más, tener apuntado que las decisiones las deben tomar quienes saben de lo suyo es un uno en la quiniela.
Usted ha pasado de la Administración General del Estado al Ayuntamiento de Madrid. ¿Qué motivó ese cambio?
No hay un único motivo. En primer lugar, ya había pasado 27 años trabajando en el mismo lugar en el que me incorporé a finales del siglo pasado. Había pocas cosas de mi trabajo que no supiera como funcionaban. Sentía que me había pasado el juego porque no intuía nuevos desafíos en el horizonte. En ese momento coincidió que el actual Director de CCMAD había publicado una plaza en la que me pareció vislumbrar la posibilidad de construir algo desde cero. En la AGE aprendí mucho, pero este nuevo reto me permitía montar un Centro de Ciberseguridad municipal. Y eso, para quién, como yo, cree en lo público, es un caramelito al que es difícil decir que no.
¿Qué le atrajo de dedicarse al servicio público en el ámbito tecnológico y no a dar el salto al sector privado?
Yo no he sido consciente de mi orientación al mundo público hasta hace relativamente poco. Llegué a una plaza de auxiliar abandonando un puesto de poca responsabilidad en una empresa privada internacional, pensando que era una cuestión transitoria para «probar» a qué sabía ese melón y, mira por dónde, tiene toda la pinta de que me voy a jubilar siendo funcionario de carrera porque me siento muy a gusto sabiendo que lo que hago está siendo de utilidad, de forma muy directa, a personas que, igual que yo, usan los servicios municipales.
¿Qué es lo que más le motiva en su día a día gestionando la seguridad digital de una gran ciudad?
La variedad. Un día estás revisando las medidas de una aplicación de movilidad, otro estás en un avión de camino a una reunión para hablar con homólogos internacionales sobre IoT en las redes de semáforos, y al siguiente explicando cuestiones prácticas de seguridad a estudiantes de instituto. Adicionalmente, en mi caso, no puedo dejar de citar al equipo con quienes trabajo, porque todo esto funciona gracias a ese maravilloso conjunto de personas que hacen que siga queriendo quedarme donde estoy.
Si tuviera que convencer a un joven profesional de que se sumara al sector público en ciberseguridad, ¿qué argumentos le daría?
Que se aprende de verdad. Que los retos son reales. Que el impacto es inmediato, Que el reconocimiento al equipo llega. Que, si se quiere cambiar el mundo, este es un buen sitio para empezar. Que puedes llevar una camiseta friki. Que hay muy buen rollo. Podría llenar seis folios con esto, pero seguro que necesitáis el espacio para otros contenidos.
En sus exposiciones públicas tira mucho de humor y le gusta vestir camisetas desenfadadas de dibujos animados o superhéroes. ¿Por qué?
Porque la ciberseguridad ya es bastante seria. Si podemos explicarla con una sonrisa, mejor. Cuando te cae un Ransomware gordo nadie tiene tiempo de tomárselo con humor y hay que bebérselo a sorbos amargos. Como ya sabemos todos que ese día va a llegar tarde o temprano, yo prefiero que el resto de jornadas que hacen el camino intentemos tener levantada la moral de la tropa y el humor es una herramienta magnífica para eso. Además, no os voy a engañar, es un truco de marketing que funciona muy bien. Yo suelo empezar mi participación con varias bromas o chistes seguidos, eso hace que el público espere la siguiente porque a todo el mundo le gusta reírse. En ese momento en el que tienes toda su atención, es cuando tienes que entregar el mensaje importante. Por último, quiero recordaros que Supermán también protege Metrópolis, aunque no tenga un cortafuegos.
