Federico de la Mora, Responsable para España de RSA Security
“Los clientes y usuarios deben valorar objetivamente el precio de que sus accesos y operaciones queden al descubierto”
Quizá no esté ya tan lejano el momento en que la autenticación fuerte explote definitivamente. La coyuntura actual parece augurarlo y llegado el momento, sin duda, RSA Security está llamada a jugar un papel determinante. Pedigrí y méritos tecnológicos no le faltan. De ellos y del escenario de sus expectativas da cuenta su responsable para España, Federico de la Mora.

– RSA Security lleva largo tiempo tratando de que la autenticación fuerte sea una opción mayoritaria. ¿Están contentos con lo conseguido o falla algo?

– Tenemos una base de quince millones de clientes que tiene tokens activos, por lo que creo que a algunos sí les hemos convencido. En este aspecto estamos satisfechos de nuestra penetración, avance y captura de cuota en el mercado empresarial. El año pasado vendimos cuatro millones de tokens y aunque no me es posible facilitar cifras en estas fechas, asumo que a final de año habremos vendido significativamente más. Esto quiere decir que lo estamos haciendo bien. Según IDC tenemos el 72% mundial de esta cuota y vamos a seguir creciendo. De todas formas, sí quedan aún cosas por hacer, tanto en ese segmento de mercado como en el del consumidor.

– ¿Cómo cuáles?

– Es cierto que hemos tenido una penetración muy fuerte fuera del ‘firewall’ pero dentro de él, hasta ahora, nuestra presencia ha sido mínima. Por eso, el paso que estamos dando se orienta a estar dentro del ordenador de sobremesa. Con este objetivo estamos trabajando junto con Microsoft con el nuevo producto SecurID for Windows. También, gracias al nuevo producto RSA Sign On Manager, que busca resolver el problema de gestión de contraseñas masivas y reducir costes, refuerza nuestras acciones en el campo corporativo.

– ¿Y respecto al consumidor final?

– El gran reto en el ámbito del consumidor es saber cómo aproximarte a él. Es la parte en que hemos tenido que aprender otro lenguaje, a saber hablar de negocios y de retorno de inversión a los financieros. Sin duda, esa gran área de negocio tiene enormes posibilidades.

– Concisamente, ¿cómo atienden ustedes el mercado de seguridad?

– Nuestro campo de actuación opera en cinco áreas de negocio: la de movilidad, proporcionando autenticación fuerte; la de acceso empresarial, con single sign on corporativo; la de identidades de acceso web, con tecnología Cleartrust; la de confidencialidad con criptografía clásica: Keon, etc.; y, por último, la recién incorporada, el modelo de consumo, en donde creemos haber entrado con fuerza con clientes como AOL.

– ¿La venerable y clásica contraseña ha de considerarse especie en extinción?

– Sí y no. Habría que esperar a a la siguiente versión del sistema operativo de Microsoft, que posiblemente no tenga contraseñas o las utilice sólo como última opción de protección. Eso significa que, una vez que un gigante de ese tamaño empieza a tirar de la industria en cierta dirección, al resto de la misma no le quedará más remedio que seguirla. Por tanto, preveo que nuestras soluciones de autenticación fuerte crecerán en esa dirección reemplazando rápidamente a las contraseñas. Veo grandes expectativas y oportunidades en el escritorio, es decir en el ordenador de sobremesa, y en todos los servicios relacionados con el consumidor, del tipo banca minorista, portales..., es decir, en sitios donde se requiera que el cliente provea o acceda a información confidencial, o que se considere de valor para el cliente. Por tanto, la respuesta es por un lado que sí, ya que va a haber una reducción significativa del uso de este tipo de contraseñas, pero a la misma vez es no, porque en ciertos escenarios es bastante más económica.

– ¿Qué factores cree que están determinando el devenir del mercado de autenticación?

– Creemos haber identificado las dos tendencias clave derivadas de los problemas causados por deficiencias en la autenticación. La primera es el robo de identidades. Este no es un problema que sólo existe escondido en determinados nichos de negocio; por el contrario, aflora y es real. Bancos, aseguradoras, etc, están perdiendo millones de dólares y ese dinero robado, esas pérdidas, se están absorbiendo en secreto. Pero hay un límite de dinero efectivo que estas entidades afectadas están dispuestas a tolerar.
La segunda tendencia, combinada con esto, la provoca el ‘phishing’. Cada vez los ataques son mayores, más avanzados y mas inteligentes, lo cual provoca siempre una carrera para educar al usuario y mejorar la tecnología, pero en la práctica el punto débil sigue siendo la fragilidad de la contraseña reutilizable, no importa que forma tome. Por tanto, estoy convencido de que el token es adecuado para resolver tanto los problemas clásicos como esos otros que, como el phishing o el robo de identidades, existen de hecho y no estaban siendo muy ‘publicitados’.

 – El tipo de autenticación que ustedes propugnan es considerado demasiado caro...

– El single sign on y web single sig on empresariales no son caros y es sencillo demostrar el retorno de inversión y en plazos sumamente breves. La parte de autenticación fuerte, a primera vista parece cara, pero pueden obtenerse retornos de inversión al año de acometerse. En todo caso, creo que las labores de educación son fundamentales para que los clientes y usuarios valoren objetivamente el precio de que sus accesos y operaciones queden al descubierto.

– ¿Qué opinión le merecen los proyectos sectoriales transnacionales del tipo iniciativas federadas y de alcance nacional como los DNI electrónicos? ¿Qué papel desempeñaría en ellos una tecnología como la de RSA?

– Admiro lo que en España se está haciendo para convertir en realidad la idea de una identificación digital nacional. Llevarla a cabo supone un gran esfuerzo, pero creo que se están creando expectativas que tal vez van más allá de la realidad. En la práctica, no estoy muy convencido de que entidades financieras de otros países europeos o de América, que operan en España, hayan de aceptar el DNI-e español como un hecho consumado. Ellas van a tener sus propias soluciones de autenticación, en algunos casos optarán por SecurID o similares, en otros por tarjetas inteligentes u otras soluciones. Por tanto, el carné de identidad digital no dejará de ser una buena solución, pero sólo para ciertos casos. Por ejemplo, lo será sin duda para la relación entre Gobierno y los ciudadanos, ya que adquiere un gran valor agregado; se puede extender a numerosas aplicaciones y eventualmente se puede combinar con, por ejemplo, el carné de conducir, etcétera. También hay grandes posibilidades a la hora de tratarse las administraciones con las empresas en algunas aplicaciones de nicho.


– Pero en esos otros contextos, como los financieros, ¿habrá entendimiento en este tema como en su momento hubo con las tarjetas?

- Lo dudo. Mi pasado profesional proviene de la banca por lo que creo saber algo de cómo son sus procesos internos y de cómo piensan algunos de estos bancos. Viví la decepción y el desvanecimiento de SET. Hay otros casos parecidos, por ejemplo, el de Kerberos. ¡Todo lo que prometía y ahora fíjese!, no es más que una pieza dentro de la infraestructura de Microsoft y de otros productos. Por tanto, confiar en que las instituciones financieras o los proveedores de tarjetas de crédito se vayan a poner de acuerdo para una solución de autenticación es una quimera, no va a ocurrir, pues de ningún modo estarán dispuestos a facilitar información industrial de valor a sus competidores.

– ¿Dónde ve entonces posibilidades?

 - En iniciativas como por ejemplo la Alianza de la Libertad. Aunque hasta ahora ha sido más que nada un proceso de aprendizaje y maduración, creo que en los próximos dos años tendrá un extraordinario desarrollo.
Veremos proveedores de Internet poniendo a disponibilidad de otros proveedores sus bases de datos de usuario para fines de autenticación, y sobre ese modelo de interacción se realizarán transacciones y procesos de pago. Y eso es muy importante en la viabilidad de estos procesos federados, porque el dueño de esos datos secretos, de esas informaciones corporativas y de esa inteligencia industrial, lo va a seguir siendo cuando se lleven a cabo estas acciones federadas. Es decir, se preserva el secreto pero se crea la capacidad de intercambiar información de estas características por parte de numerosos minoristas en línea, e-retailers, o que los bancos comuniquen el límite de crédito para una determinada transacción. No cuesta imaginar grandes grupos de identidades federadas, por ejemplo, de tres grandes bancos españoles creando su propia comunidad de intercambio.
Con todo, y para cubrir el rango completo, también hemos sido pragmáticos al decidir soportar las otras dos iniciativas con posibilidades: Passport y SAML. Me aventuraría a decir que RSA dispondrá eventualmente de una solución capaz de hablar con cualquiera de estas tres opciones, y que, sin duda, todas convivirán durante varios años.
“RSA Security sigue apostando por Afina e Itway ADD Ibérica como mayoristas para su penetración en el mercado español”

– En la reciente visita a España de su Presidente, Art Coviello, manifestó a SIC su convencimiento de que en un futuro próximo los usuarios tendremos 4 ó 5 identidades, tal cual hoy tenemos 4 ó 5 tarjetas. ¿También lo ve así?

– Como previsión, cabe esperar que haya entre tres y cinco soluciones de autenticación básicas, además de todas las contraseñas reutilizables que sigan existiendo en aplicaciones propietarias. En escenarios de uso de Liberty Alliance, SAML o Passport para intercambiar o federar esas identidades por un lado, es donde tienen cabida soluciones como Enterprise Single Sign On, que es una de nuestras áreas de negocio en donde ahora estamos haciendo mucho foco; con ellas, se consolidan en un solo punto todas las credenciales del usuario, todas la identidades y tiene lugar el proceso de autenticación fuerte, con Windows, llevado a cabo una sola vez y por el que automáticamente se tiene acceso a todo el sistema. Eso es lo que sucede y existe hoy, y hacia donde va parte de esta tecnología.
Ahora bien, también esperaría que hubiera uno o dos identificadores de la administración pública, pero no más, porque si estas soluciones tecnológicas se politizan, se convierten en armas de dos filos, o son un verdadero éxito o un fracaso estrepitoso.

– ¿El exitoso proyecto de autenticación masiva de RSA con AOL, lo ve a corto plazo extensible a nuestro pais?

– El modelo de AOL sí tiene potencial; en Estados Unidos se espera que en unos cinco años sea de millones pero en España tal vez preveo una solución similar inicialmente en banca, finanzas y aseguradoras. Ya hemos demostrado en muchos paises de Europa que la banca comercial, cierto sector de la banca minorista de valor agregado y todo lo que es banca privada, se benefician ya de los tokens. Confío claramente en que el crecimientro fuerte para 2005 suceda en el mercado minorista.

– ¿Cómo se desenvuelve hoy en España RSA Security?

– Muy bien. En 2003 crecimos dos dígitos y el objetivo de 2004 es hacerlo entre un 20% y un 30%. Tenemos varios centenares de clientes activos diferentes. Hasta hace poco, un porcentaje importante de ellos eran filiales de multinacionales en España, pero ahora se reparte más o menos a partes iguales, y sigue la tendencia creciente de que los clientes sean netamente empresas españolas.

– Algunos hitos importantes de su compañía en España son los proyectos del Principado de Asturias o de los notarios en ANCERT, ambos con la colaboración de gedas iberia, o el de cierta banca específica en el Grupo BBVA... ¿Podría citar algunas otras referencias y en qué contexto?

– La verdad es que me enorgullece poder referirme a algunos proyectos de éxito que muestran este cambio en el mercado español al que antes me refería. De ser una región en la que se vendía mayoritariamente a las multinacionales con filiales aquí, siguiendo directrices de sus centrales, hemos pasado incluso a exportar algunos proyectos emblemáticos. En este sentido debo decir que la aportación de los integradores españoles ha sido decisiva.
Sería injusto no mencionar a especialistas como Davinci o Selesta, fundamentales para el éxito con sus aportaciones en entidades como Amadeus o BBVA. En el caso de la plataforma Amadeus, es un proyecto para permitir el acceso global de la fuerza comercial. En el de Selesta en la entidad financiera que usted menciona, consistió en afrontar un problema de negocio y, durante su resolución, aportar modernización y simplificación, y al tiempo, aprovechar para mejorar la seguridad.

– Su canal de distribución en España ha estado centrado históricamente en dos mayoristas, Afina Sistemas y ADD, este último integrado hoy en Itway, a cuyo frente está curiosamente su antecesor al frente de RSA España. ¿Contemplan ustedes algún cambio?

– En principio, no. Tanto con Afina como con Itway ADD Ibérica las relaciones son satisfactorias. De hecho, con Afina siempre han sido buenas, y con la ADD clásica, también. Ahora, al ser esta segunda absorbida por Itway, presenta unas perspectivas excelentes y de gran valor para mí, porque precisamente la persona que usted ha mencionado, Zane Ryan, entiende muy bien nuestro negocio.

– ¿Cómo valora la trayectoria en España de otros competidores como Aladdin, ActiveCard, SafeNet o Vasco, y que incluso alguno de ellos compita en el mismo portafolio de alguno de sus mayoristas?

– Creo que están focalizados sólo en algunos nichos y ofreciendo soluciones quizá complicadas de implementar y mantener, en tanto que RSA ha apostado por una cobertura más ambiciosa y concordante con necesidades más globales y variadas.
Texto: Luis Fernández Delgado
Fotografía: Jesús A. de Lucas
<volver